サイバーセキュリティ企業 RedHuntLabs は最近、定期的なインターネット スキャン中に、有名企業メルセデス ベンツが誤って従業員認証トークンを漏洩したことを発見しました。その結果、GitHub Enterprise でホストされている同社のすべてのソース コードとリポジトリがパブリック ネットワークに公開されました。

分析によると、Mercedes-Benz の GitHub Enterprise Server には大量の機密コンテンツが含まれています。

  • ソースコード全体

  • 知的財産の内容

  • 他のサービスへの接続に使用される文字列

  • AWS/Azure接続キー

  • 青写真

  • 設計ドキュメント

  • SSOパスワード

  • APIキー

  • その他の重要な情報

    • AWS および Microsoft Azure 接続キーは、AWS および Microsoft がホストする Mercedes-Benz サーバーにログインするために使用される可能性があり、これによりさらに多くの個人データが漏洩する可能性があります。

    開発者が誤って GitHub でトークンを公開してしまいました:

    GitHub を使用すると、開発者はパスワードの代わりに認証トークンを生成できます。 Mercedes-Benz の従業員が誤って自分のトークンを公開 GitHub に公開してしまいました。つまり、トークンを取得した人は誰でも Mercedes-Benz の GitHub Enterprise Server に直接アクセスして、すべてのデータをダウンロードできることになります。

    RedHuntLabs は、セキュリティ検証を目的としてデータの一部を閲覧したところ、AWS および Azure キー、Postgres データベース、その他の Mercedes ソース コードも含まれていることを発見しました。

    その後、セキュリティ会社は TechCrunch を通じてメルセデス・ベンツにフィードバックを求めました。フィードバックを受けたメルセデス・ベンツは直ちに問題を確認し、トークンを取り消すとともに、トークンを公開したリポジトリ全体を削除した。

    データが漏洩したかどうかは不明です。

    スキャンの結果、メルセデス・ベンツの従業員が2023年9月下旬に誤って認証トークンを公開したことが判明しており、取り消しから数か月が経過していることになる。この数か月の間に、他のハッカーが必然的にトークンをスキャンし、すべてのデータを盗むことになります。

    残念なことに、メルセデス・ベンツは、流出したデータに第三者がアクセスしていたことを知っていたかどうか、あるいはデータへの異常なアクセスをチェックする能力が同社にあったかどうかについては明言を避けたが、そのためにはおそらく過去数カ月間のログの完全な調査が必要となるだろう。