Поделиться
Ошибка в токене GitHub сделала общедоступными фирменные исходные коды ПО Mercedes-Benz
Токен к GitHub обеспечивал «ничем не ограниченный» доступ к ряду корпоративных репозиториев Mercedes-Benz. Прошли месяцы, прежде чем автопроизводитель об этом узнал.
Интеллектуальная собственность у всех на виду
Внутренние корпоративные ресурсы Mercedes-Benz в GitHub оказались на время общедоступными из-за некорректно сформированного токена. В течение некоторого времени исходные коды программных решений автопроизводителя могли просматривать все желающие.
Как и любой уважающий себя автопроизводитель, Mercedes-Benz широко использует цифровые компоненты в своих автосистемах. К таковым относятся системы контроля и безопасности, информационно-развлекательные системы, в особо продвинутых случаях - автопилот, а также различные системы диагностики и технического обслуживания, телеметрии, управления аккумуляторами (в электро- и гибридных автомобилях) и средства связи.
29 сентября эксперты RedHunt Labs обнаружили в публичном репозитории GitHub-токен, который принадлежал работнику Mercedez; как оказалось, токен открывал ничем не ограниченный и анонимный доступ к содержимому корпоративного сервера компании в GitHub (GitHub Enterprise Server).
«В результате инцидента значимые репозитории, содержавшие большой объём интеллектуальной собственности, оказались открыты всем ветрам», - говорится в публикации RedHunt. Скомпрометированная информация включала строки подключения к базам данных, ключи доступа к облачным ресурсам, проектную и дизайнерскую документацию, SSO-пароли, ключи API и другие критические внутренние данные.
В своей публикации эксперты RedHunt отметили, что последствия утечки данных такого уровня могут иметь весьма драматичные последствия. Помимо того, что интеллектуальной собственностью компании могут воспользоваться конкуренты, а киберзлоумышленники - найти уязвимости или применить API-ключи для вторжения в инфраструктуру компании, сам автопроизводитель может быт привлечен к ответственности за нарушение GDPR (Общеевропейской директивы по защите персональных данных). По крайней мере, в том случае, если в репозитории содержались клиентские данные. Впрочем, в RedHunt не стали это выяснять специально.
Четыре месяца спустя
По какой-то причине RedHunt проинформировали Mercedes-Benz об утечке токена только 22 января 2024 года (причём не напрямую, а при поддержке TechCrunch). Токен был аннулирован двумя днями позже.
«Таким образом, с момента обнаружения токена и до того, как Mercedes-Benz проинформировали о проблеме, прошло четыре месяца», - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, всё это время не только эксперты RedHunt могли получить доступ к токену и хозяйничать в репозитории. «Mercedes-Benz не помешало бы произвести тщательную ревизию исходного кода, который там хранился, на предмет бэкдоров или других вариантов вредоносного ПО: никаких гарантий, что его там не появилось, теперь давать уже нельзя», - подытожил Михаил Зайцев.
В Mercedes-Benz признали, что обнаруженный токен открывал доступ к ресурсам компании, но уточнили, что речь шла лишь о нескольких репозиториях, а не обо всём наборе исходного кода. Клиентских данных в раскрытых репозиториях не было, утверждают в компании. Причиной инцидента стала «человеческая ошибка», подробности о которой в компании раскрывать не хотят. Остаётся неизвестным, заметили ли в Mercedes несанкционированный доступ к их репозиториям в принципе.
Ранее в аналогичной ситуации оказывалась компания Toyota: её репозиторий в GitHub оставался доступен в течение пяти лет, опять-таки в силу некорректных настроек. В этом репозитории хранились клиентские данные, что дополнительно усугубило скандал.
Короткая ссылка
