Kuriozalny błąd pracownika dał dostęp do tajnych dokumentów Mercedes-Benz praktycznie każdemu chętnemu

Brytyjska firma, specjalizująca się w ochronie w sieci, RedHunt Labs, zgłosiła, że jeden z pracowników firmy Mercedes-Benz umieścił w publicznym repozytorium GitHuba swój token autoryzacyjny. Wspomniany klucz pozwalał na nieograniczony i niemonitorowany dostęp do wielu utajnionych materiałów korporacji. Mercedes-Benz ogłosił, że token został już usunięty i prowadzone jest śledztwo w sprawie, ale sytuacja była groźna (vide TechSpot).

Mercedes-Benz był zagrożony niebezpiecznym wyciekiem danych

Klucz autoryzacyjny anonimowego pracownika zezwalał na bardzo szeroki dostęp. Osoba postronna mogła wejrzeć na serwery Mercedes-Benz, gdzie znajdowały się między innymi dokumenty chronione prawem autorskim, w których skład wchodziły plany projektowe, schematy oraz inne ważne dane. Serwer zawierał także klucze dostępowe do chmury firmy, inne klucze API oraz wiele haseł, dzięki którym teoretycznie każdy mógł mieć praktycznie nieograniczony dostęp do infrastruktury sieciowej firmy.

Powiązane:Pracownicy błagali Google, by nie wypuszczać chatbota AI Bard

Współzałożyciel RedHunt Labs, Shubham Mittal, stwierdził, że ma dowody potwierdzające, iż ujawnione zostały także klucze dostępowe do Microsoft Azure, Amazon Web Services, a nawet kod źródłowy narażonej korporacji. Sytuacja ta trwała przez kilka miesięcy, ponieważ wyciek tokena został zauważony w styczniu 2024 roku, a udostępnienie miało miejsce jeszcze we wrześniu 2023 roku.

Mercedes-Benz jest w trakcie wewnętrznego śledztwa oraz wprowadzania nowych metod, które zapobiegną podobnym wypadkom w przyszłości. Według posiadanych przez RedHunt Labs informacji, nikt przez te kilka miesięcy nie skorzystał z możliwości otrzymania nieograniczonego dostępu do wrażliwych danych motoryzacyjnego giganta.

Czytaj więcej:Smutne opisy, złamane serca oraz rozmowy za pomocą emotikonek. Gadu-Gadu jeszcze żyje i znów próbuje podbić świat