梅赛德斯源代码通过 GitHub 令牌泄露而暴露

阅读量52910

发布时间 : 2024-02-02 11:43:06

泄露的 GitHub 令牌可以不受限制地访问该汽车制造商的源代码,从而暴露知识产权密码和云访问密钥。

9 月 29 日,在公共存储库中发现了该公司一名员工拥有的梅赛德斯-奔驰 GitHub 代币。RedHunt 实验室的研究人员表示,该令牌可以访问公司内部的 GitHub Enterprise Server。

报告称:“该事件暴露了包含大量知识产权的敏感存储库,泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他关键内部信息。”

研究人员表示,暴露的令牌可能允许攻击者以各种方式利用可访问的令牌。例如,恶意行为者可能访问了梅赛德斯的源代码,提取了知识产权、报告、文件、凭证和其他有价值的信息。

据研究人员称,虽然 GitHub 令牌在 9 月份就被曝光,但研究人员直到 1 月 11 日才发现它,梅赛德斯于 24 日撤销了它。这意味着该公司的 GitHub Enterprise Server 可能在几个月的时间内在无人知晓的情况下被访问。

“梅赛德斯 GitHub Enterprise Server 的 GitHub 令牌被泄露,为潜在对手打开了访问和下载该组织整个源代码的网关。研究人员表示,深入研究该源代码可能会暴露高度敏感的凭据,从而为针对梅赛德斯-奔驰的极其严重的数据泄露创造温床。

梅赛德斯-奔驰是最大的高档汽车品牌之一,每年销售数百万辆乘用车。梅赛德斯品牌所有者梅赛德斯-奔驰集团 (Mercedes-Benz Group AG) 报告收入超过 1,330 亿欧元(1,440 亿美元)。该公司拥有超过 170,000 名员工。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66