RedHunt Labs на GitHub нашла в публичном репозитории API-токен, позволяющий получить неограниченный доступ к внутренним репозиториям компании Mercedes-Benz, размещённым на внутреннем сервере на базе платформы Github Enterprise Server. Токен был случайно выложен одним из сотрудников Mercedes-Benz среди кода, размещённого в публичном репозитории на GitHub с 29 сентября 2023 года.

Токен был выявлен 11 января 2024 года, а 24 января он был отозван. По заявлению Mercedes-Benz, при помощи этого токена можно было получить доступ не ко всему исходному коду, размещённому на сервере, а лишь к отдельным внутренним репозиториям компании. В RedHunt Labs пояснили, что во внутренних репозиториях, к которым можно было подключиться при помощи этого токена, была закрытая техническая документация и информация, представляющая коммерческую тайну, а также конфиденциальные данные, включая учётные данные для подключения к СУБД, ключи доступа к облачным сервисам, ключи доступа к API и пароли подключения к сервисам.

Ранее эксперты Escape провели сканирование миллиона доменов на предмет наличия в открытом доступе ключей и API-токенов. При сканировании, в ходе которого проанализировано 189.5 млн URL, было выявлено 18458 встроенных на страницы ключей и токенов доступа (к GitHub, GitLab, Stripe, OpenAI, AWS, Twitch, Coinbase, X/Twitter, Slack и Di), из которых 41% являются критически важными, их утеря приводит к значительным финансовым рискам.