Mercedes-Benz expone datos internos incluido el código fuente de la empresa

Iniciado por AXCESS, Enero 30, 2024, 01:41:01 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de RedHunt Labs descubrieron que Mercedes-Benz dejó involuntariamente una clave privada accesible en línea, exponiendo así datos internos, incluido el código fuente de la empresa. No está claro si la filtración de datos expuso los datos de los clientes.

El token revelado tenía el potencial de proporcionar acceso sin restricciones al GitHub Enterprise Server de Mercedes, permitiendo a cualquiera recuperar los repositorios privados de código fuente de la empresa.

"El token de GitHub brindó acceso 'sin restricciones' y 'no monitoreado' todo el código fuente alojado en el servidor interno de GitHub Enterprise", dijo a TechCrunch Shubham Mittal, cofundador y director de tecnología de RedHunt Labs.

"Los repositorios incluyen una gran cantidad de propiedad intelectual... cadenas de conexión, claves de acceso a la nube, planos, documentos de diseño, contraseñas [de inicio de sesión único], claves API y otra información interna crítica".

Los repositorios expuestos incluían credenciales de Microsoft Azure y Amazon Web Services (AWS), una base de datos de Postgres y código fuente de Mercedes.

Una vez que Mercedes se dio cuenta de la filtración de datos, revocó el token expuesto y eliminó el repositorio público.

TechCrunch reveló el problema de seguridad a Mercedes el lunes. El miércoles, la portavoz de Mercedes, Katja Liesenfeld, confirmó que la empresa "revocó el token API respectivo y eliminó el repositorio público inmediatamente".

"Podemos confirmar que el código fuente interno se publicó en un repositorio público de GitHub por error humano", dijo a TechCrunch la portavoz de Mercedes, Katja Liesenfeld. "La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades". "Continuaremos analizando este caso de acuerdo con nuestros procesos normales. Dependiendo de esto, implementamos medidas correctivas".



Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuándo no los Mercedes, no pegan ni una, en la fórmula 1 ni hablamos ...
───────▓▓╬▓
                   ──────▓▓▓║▓▓
                   ─────▓▓▓▓╬▓▓▓▓
                   ░░▄░▓▓▓▓▓║▓▓▓▓▓░░░░░
                   ░▀████████████████▀░░