Новости Сотрудник Mercedes-Benz обронил в репозитории GitHub ключ доступа к корпоративным системам

NewsMaker

I'm just a script
Премиум
13,891
20
8 Ноя 2022
Любой желающий мог заполучить секреты компании на протяжении 4 месяцев.


q6vltp7bzl1dqg3mtqa10t6yvifke09e.jpg


Автоконцерн Mercedes-Benz чуть не допустил серьезную утечку внутренних конфиденциальных данных. Как выяснила компания по кибербезопасности Для просмотра ссылки Войди или Зарегистрируйся , один из сотрудников оставил в свободном доступе в сети личный ключ разработчика, который открывал неограниченный доступ к исходным кодам внутренних систем.

В ходе рутинного мониторинга интернет-ресурсов в январе аналитики случайно наткнулись на токен для авторизации в открытом репозитории GitHub . Этот токен, по сути, аннулировал необходимость ввода пароля и предоставлял полную свободу действий на корпоративном сервере GitHub Enterprise. Другими словами, злоумышленники могли беспрепятственно скачать любые закрытые репозитории.

В этих репозиториях находились данные для подключения к внутренним архивам, ключи доступа к облачным сервисам, чертежи, дизайн-документы, пароли для системы единой аутентификации (SSO), API и другие ценные сведения.

Специалисты уточняют, что в открытом доступе оказались репозитории с ключами к облачным сервисам Microsoft Azure и Amazon Web Services, а также внутренняя база данных Postgres и исходные коды систем самой Mercedes. Пока неясно, были ли среди уязвимых ресурсов персональные данные клиентов.

Представитель Mercedes подтвердил, что утечка произошла по вине сотрудника. Компания незамедлительно аннулировала скомпрометированный токен и закрыла репозиторий. Руководство заверяет, что защита конфиденциальных данных компании, ее продуктов и сервисов является для них главным приоритетом. Уже запущено внутреннее расследование инцидента, и по его результатам будут приняты меры для предотвращения подобных проблем в будущем.

Пока неясно, успел ли кто-то из злоумышленников воспользоваться открытым кодом, опубликованным еще в сентябре 2023 года. Представители Mercedes отказываются говорить, использует ли компания технические средства мониторинга, которые позволили бы определить, был ли осуществлен несанкционированный доступ к внутренним системам. В качестве причины отказа они сослались на соображения информационной безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы