泄露的 GitHub 令牌可以不受限制地访问该汽车制造商的源代码,从而暴露知识产权密码和云访问密钥。
9 月 29 日,在公共存储库中发现了该公司一名员工拥有的梅赛德斯-奔驰 GitHub 代币。RedHunt 实验室的研究人员表示,该令牌可以访问公司内部的 GitHub Enterprise Server。
报告称:“该事件暴露了包含大量知识产权的敏感存储库,泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他关键内部信息。”
研究人员表示,暴露的令牌可能允许攻击者以各种方式利用可访问的令牌。例如,恶意行为者可能访问了梅赛德斯的源代码,提取了知识产权、报告、文件、凭证和其他有价值的信息。
据研究人员称,虽然 GitHub 令牌在 9 月份就被曝光,但研究人员直到 1 月 11 日才发现它,梅赛德斯于 24 日撤销了它。这意味着该公司的 GitHub Enterprise Server 可能在几个月的时间内在无人知晓的情况下被访问。
“梅赛德斯 GitHub Enterprise Server 的 GitHub 令牌被泄露,为潜在对手打开了访问和下载该组织整个源代码的网关。研究人员表示,深入研究该源代码可能会暴露高度敏感的凭据,从而为针对梅赛德斯-奔驰的极其严重的数据泄露创造温床。
梅赛德斯-奔驰是最大的高档汽车品牌之一,每年销售数百万辆乘用车。梅赛德斯品牌所有者梅赛德斯-奔驰集团 (Mercedes-Benz Group AG) 报告收入超过 1,330 亿欧元(1,440 亿美元)。该公司拥有超过 170,000 名员工。
发表评论
您还未登录,请先登录。
登录