Mercedes-Benz признала, что оставила в сети закрытый токен к GitHub Enterprise Server Mercedes, который давал «неограниченный и неконтролируемый доступ» к исходному коду компании. Токен в общедоступном репозитории GitHub обнаружила ИБ-компания RedHunt Labs.
По словам технического директора компании Шубхама Миттала, этот токен мог предоставить полный доступ к GitHub Enterprise Server Mercedes любому желающему.
«Репозитории содержат большое количество интеллектуальной собственности: строки подключения, ключи доступа к облаку, чертежи, проектную документацию, пароли [единого входа], токены API и другую важную внутреннюю информацию», — добавил Миттал в комментарии для TechCrunch. Он представил доказательства того, что в открытых репозиториях содержались токены Microsoft Azure и Amazon Web Services (AWS), база данных Postgres и исходный код Mercedes. О том, располагались ли там какие-либо данные клиентов, неизвестно.
TechCrunch связался с Mercedes и сообщил компании о проблеме безопасности. Вскоре представитель Mercedes Катя Лизенфельд подтвердила, что компания «отозвала соответствующий токен и немедленно удалила публичный репозиторий».
«Мы можем подтвердить, что внутренний исходный код был опубликован в общедоступном репозитории GitHub из-за человеческого фактора, — заявила Лизенфельд. — Мы расследуем этот инцидент в соответствии с нашими обычными процессами и примем меры по исправлению ситуации».
Неизвестно, обнаружил ли токен ещё кто-нибудь, кроме Миттала. В Mercedes отказались сообщить, известно ли компании о доступе посторонних к раскрытым данным.
