Mercedes-Benz je slučajno podelio svoj izvorni kod i poslovne tajne sa celim svetom
Mercedes-Benz se suočio sa značajnim bezbednosnim propustom nakon što je otkriveno da je slučajno podelio svoj izvorni kod i poslovne tajne sa celim svetom. Propust je otkrila britanska kompanija za bezbednost, RedHunt Labs, koja je pronašla token za autentifikaciju zaposlenog u Mercedes-Benzu na javnom GitHub repozitorijumu. Ovaj token je omogućavao "neograničen pristup" poslovnim tajnama i drugim ključnim podacima za autentifikaciju nemačkog automobilskog giganta.
RedHunt je identifikovao izloženi token za autentifikaciju tokom rutinskog skeniranja interneta u januaru, iako je token objavljen još u septembru 2023. godine. Korišćenjem privatnog ključa, zlonamerni akteri ili sajber kriminalci mogli su da dobiju potpuni pristup GitHub Enterprise Serveru koji pripada Mercedes-Benzu, gde su skladištene velike količine osetljivih podataka.
Preporučujemo
Po uzoru na Netflix i Disney+, Hulu i ESPN+ počeće da sprečavaju deljenje lozinke
Stabilnost iznad performansi – Tržište memorije u 2024. godini
Token je omogućio "neograničen" i "nenadgledan" pristup velikoj količini intelektualne svojine Mercedes-Benza, uključujući nacrte, dizajnerske dokumente i druge "kritične" interne informacije. Server je takođe hostovao ključeve za pristup oblaku, API ključeve i dodatne lozinke, što je moglo biti iskorišćeno za narušavanje celokupne IT infrastrukture proizvođača automobila, stvarajući bezprecedentnu i haotičnu situaciju.
Osim toga, otkriveno je da su nezaštićeni repozitorijumi izložili ključeve za Microsoft Azure i Amazon Web Services (AWS) servere, Postgres bazu podataka, pa čak i izvorni kod softvera Mercedes-Benz-a. Prema rečima istraživača, na pogođenim serverima nisu bili hostovani podaci o kupcima, piše TechSpot.
RedHunt je o ovom bezbednosnom incidentu obavestio TechCrunch, koji je potom obavestio Mercedes-Benz. Portparol nemačke kompanije potvrdio je da je neograničeni API token opozvan, a javni repozitorijum je "odmah" uklonjen.
Izvorni kod unutrašnjih sistema kompanije je nenamerno objavljen na javnom GitHub serveru zbog ljudske greške, rekao je portparol. Interna istraga je i dalje u toku, a biće sprovedene i dodatne "korektivne mere".
Iako je token bio izložen javnom pristupu mesecima, do sada nema dokaza da su zlonamerni akteri ili sajber kriminalci otkrili i zloupotrebili tajnu kako bi kompromitovali poslovanje Mercedes-Benza. Kompanija nije potvrdila da li je bila u mogućnosti da detektuje nepoznate pokušaje pristupa svojim sistemima putem pristupnih zapisa ili drugih bezbednosnih mera.
(Telegraf.rs)
Povezane vesti
NASA suočena sa starenjem MSS i opreme za šetnju u svemiru
Grčka skinula oznaku poverljivosti sa obaveštajnih dosijea o kiparskoj krizi 1974.
Zdravku je nešto počelo da curi po zidovima, pozvonio je komšijama iznad: Otkrili su neverovatnu istinu
<% post.title %>
Nova drama zbog potopljene superjahte: U brodskim sefovima su strogo poverljivi podaci, žele ih Rusija i Kina
Video: Zavirili smo u srce Zero Tenacity tima: Gejming na sasvim novom nivou
Telegraf.rs zadržava sva prava nad sadržajem. Za preuzimanje sadržaja pogledajte uputstva na stranici Uslovi korišćenja.
Komentari
Priče sa Weba
POŽAR NA MOSTU NA ADI Vatra i dim kuljaju na sve strane (VIDEO)
"OVO JE PUTINOVA DIREKTNA PORUKA AMERICI I BRITANIJI" Rusija ispalila novu raketu na Ukrajinu: "Crvena linija je pređena"
"BUDITE SPREMNI DA SE SAMI SNALAZITE" Evropa se panično priprema za nuklearni rat: I Hrvatska sprema brošure sa savetima za preživljavanje prva 72 sata
