Сотрудник Mercedes-Benz обронил в репозитории GitHub ключ доступа к корпоративным системам
Любой желающий мог заполучить секреты компании на протяжении 4 месяцев.
Автоконцерн Mercedes-Benz чуть не допустил серьезную утечку внутренних конфиденциальных данных. Как выяснила компания по кибербезопасности RedHunt Labs , один из сотрудников оставил в свободном доступе в сети личный ключ разработчика, который открывал неограниченный доступ к исходным кодам внутренних систем.
В ходе рутинного мониторинга интернет-ресурсов в январе аналитики случайно наткнулись на токен для авторизации в открытом репозитории GitHub. Этот токен, по сути, аннулировал необходимость ввода пароля и предоставлял полную свободу действий на корпоративном сервере GitHub Enterprise. Другими словами, злоумышленники могли беспрепятственно скачать любые закрытые репозитории.
В этих репозиториях находились данные для подключения к внутренним архивам, ключи доступа к облачным сервисам, чертежи, дизайн-документы, пароли для системы единой аутентификации (SSO), API и другие ценные сведения.
Специалисты уточняют, что в открытом доступе оказались репозитории с ключами к облачным сервисам Microsoft Azure и Amazon Web Services, а также внутренняя база данных Postgres и исходные коды систем самой Mercedes. Пока неясно, были ли среди уязвимых ресурсов персональные данные клиентов.
Представитель Mercedes подтвердил, что утечка произошла по вине сотрудника. Компания незамедлительно аннулировала скомпрометированный токен и закрыла репозиторий. Руководство заверяет, что защита конфиденциальных данных компании, ее продуктов и сервисов является для них главным приоритетом. Уже запущено внутреннее расследование инцидента, и по его результатам будут приняты меры для предотвращения подобных проблем в будущем.
Пока неясно, успел ли кто-то из злоумышленников воспользоваться открытым кодом, опубликованным еще в сентябре 2023 года. Представители Mercedes отказываются говорить, использует ли компания технические средства мониторинга, которые позволили бы определить, был ли осуществлен несанкционированный доступ к внутренним системам. В качестве причины отказа они сослались на соображения информационной безопасности.
Цифровые следы - ваша слабость, и хакеры это знают.