Mercedes hat offenbar nicht aufgepasst und leakt Interna inklusive Sourcecode
Ein Github-Schlüssel war öffentlich abrufbar und gewährte Zugriff auf interne Informationen von Mercedes Benz.
(Bild: Mercedes)
Sicherheitsforscher von RedHunt Labs sind eigenen Angaben zufolge auf einen Token für die Github-Instanz vom Autohersteller Mercedes Benz gestoßen. Damit ausgerüstet hätten Unbefugte auf vertrauliche Daten des Konzerns zugreifen können.
„Uneingeschränkter Zugriff“
Gegenüber der IT-Nachrichtenseite TechCrunch geben sie an, dass sie bei einem Routinescan in einem öffentlich abrufbaren Github-Repository auf den Token gestoßen sind, der Ende September 2023 ausgestellt wurde. Ein Token fungiert bei der Anmeldung als Alternative zu einem Passwort und gewährt den Zugriff auf einen Dienst.
In diesem Fall soll der Token uneingeschränkten und unüberwachten Zugriff auf die Github-Website der Autoherstellers erlaubt haben. Ob es unbefugte Zugriffe gegeben hat, ist bislang nicht bekannt. Ein Mercedes-Sprecher hat den Vorfall gegenüber TechCrunch bestätigt. Mittlerweile hat der Autohersteller dem Token die Gültigkeit entzogen. Eine Anmeldung ist damit nicht mehr möglich. Außerdem versichern sie, dass das Repository nicht mehr öffentlich einsehbar ist.
Interna, Sourcecode & Co.
Die Forscher führen aus, dass auf der Github-Website von Mercedes viele interne Daten wie API- und Cloud-Schlüssel, Blaupausen, Passwörter und Sourcecode gespeichert sind. Unter anderem hätten Unbefugte so mittels einem dort abgelegten Amazon-Web-Services-Schlüssel auf weitere Daten in der Cloud zugreifen können. Fremdzugriff auf Blaupausen und Sourcecode kann weitreichende Folgen für den Autohersteller haben.
Zum jetzigen Zeitpunkt ist unklar, ob auch Daten von Kunden in dem Repository liegen. Mercedes gibt an, den Fall weiter zu untersuchen und gegebenenfalls zusätzliche Maßnahmen einzuleiten.
(des)
