Mercedes zaliczył wpadkę. Przypadkiem podzielił się swoimi sekretami z całym światem

Anna BorzęckaSkomentuj
Mercedes zaliczył wpadkę. Przypadkiem podzielił się swoimi sekretami z całym światem

Eksperci do spraw cyberbezpieczeństwa regularnie wertują Internet w poszukiwaniu niezabezpieczonych serwerów oraz dowodów na wycieki danych, które mogły komukolwiek umknąć. Ostatnio w ten sposób odkryli coś, czego nie spodziewał się nikt. Okazuje się bowiem, że jeden z niemieckich gigantów motoryzacyjnych – Mercedes-Benz – przypadkiem dał światu nieograniczony dostęp do swoich handlowych tajemnic i innych kluczowych danych.

Mercedes otworzył furtkę dla cyberprzestępców

Brytyjska forma RedHunt Labs zajmująca się kwestiami bezpieczeństwa natrafiła niedawno na token uwierzytelniający należący do pracownika Mercedes-Benz. Token ten znajdował się w publicznym repozytorium platformy GitHub, a więc każdy mógł wykorzystać go, by uzyskać dostęp do serwera GitHub Enterprise należącego Mercedesa.

Choć token został wykryty w styczniu, opublikowano go już we wrześniu 2023 roku. Gwarantował on w zasadzie nieograniczony i niemonitorowany dostęp do plików będących własnością intelektualną Mercedesa. Pliki te zawierały bowiem plany, dokumenty projektowe i inne kluczowe informacje, którymi firma nie dzieliła się ze światem.

Ilość wrażliwych danych przechowywanych na serwerze Mercedesa podobno była wręcz porażająca. Serwer ten zawierał też bowiem klucze dostępu do chmury, klucze API i dodatkowe hasła, które mogły zostać wykorzystane do zakłócenia całej informatycznej infrastruktury producenta samochodów. Co więcej, znaleziono na nim klucze do serwerów Microsoft Azure i Amazon Web Serwices, bazy danych Postgres, a nawet kod źródłowy oprogramowania Mercedes-Benz. Na szczęście nie zawierał on natomiast żadnych danych klientów.

Przypadek o jeszcze nieznanych konsekwencjach

Oczywiście Mercedes został o całej sprawie poinformowany. Rzecznik firmy potwierdził już nawet, że wykryty token został dezaktywowany, a publiczne repozytorium usunięte. Co ważne, kod źródłowy motoryzacyjnego giganta nie powinien był się na tym serwerze znajdować. Opublikowano go tam przypadkowo.

Mercedes prowadzi obecnie wewnętrzne dochodzenie w sprawie publikacji tokena i potencjalnego wycieku danych. Póki co nie ma dowodów na to, że jakikolwiek cyberprzestępca uzyskał do przypadkowo opublikowanych danych dostęp. Mercedes nie podzielił się jednak, czy byłby w stanie wykryć nieautoryzowane próby uzyskania dostępu do jej serwera GitHub za pomocą omawianego tokena.

Źródło: TechCrunch, fot. tyt. Mercedes

Udostępnij

Anna BorzęckaSwoją przygodę z dziennikarstwem rozpoczęła w 2015 roku. Na co dzień pisze o nowościach ze świata technologii i nauki, ale jest również autorką felietonów i recenzji. Chętnie testuje możliwości zarówno oprogramowania, jak i sprzętu – od smartfonów, przez laptopy, peryferia komputerowe i urządzenia audio, aż po małe AGD. Jej największymi pasjami są kulinaria oraz gry wideo. Sporą część wolnego czasu spędza w World of Warcraft, a także przyrządzając potrawy z przeróżnych zakątków świata.