Mercedes'ten şok eden hata!
Güvenlik araştırmacıları, düzenli olarak interneti tarayarak büyük endüstri oyuncularına ait korunmasız sunucuları veya açıkta kalan "sırları" bulmaya çalışıyorlar. İngiltere merkezli güvenlik şirketi RedHunt Labs'ın yaptığı tarama sırasında, Mercedes-Benz'e ait kaynak kodunu ve ticari sırları içeren bir GitHub deposu keşfedildi.
Mercedes'ten şok eden hata
RedHunt'un kurucu ortağı Shubham Mittal'a göre, GitHub'da bulunan kimlik doğrulama belirteci, Alman otomotiv devinin ticari sırlarına ve diğer önemli kimlik doğrulama bilgilerine "sınırsız erişim" sağlamak için kullanılmış olabilir. RedHunt, bu belirteci ocak ayında rutin bir internet taraması sırasında keşfetti, ancak belirteç kendisi Eylül 2023'te yayınlanmıştı. Bu durum, kötü niyetli kişilerin veya siber suçluların Mercedes-Benz'e ait bir GitHub Kurumsal Sunucusuna tam erişim elde etmiş olabileceği anlamına geliyor.
Söz konusu sunucuda depolanan verilerin hacmi ve hassasiyeti gerçekten şaşırtıcı. GitHub belirteci, planlar, tasarım belgeleri ve diğer "kritik" dahili bilgiler de dahil olmak üzere büyük miktarda Mercedes-Benz fikri mülkiyet dosyasına sınırsız ve izlenmeyen erişim sağlıyordu. RedHunt Labs, sunucunun ayrıca bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri içerdiğini ve bunların otomobil üreticisinin tüm BT altyapısını bozmak için kullanılabileceğini belirtti.
Daha da kötüsü, RedHunt Labs, güvensiz depoların Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veritabanını ve hatta Mercedes-Benz yazılımının kaynak kodunu ifşa ettiğini doğruladı. Neyse ki, etkilenen sunucularda müşteri verisi bulunmuyordu.
Mercedes-Benz'den bir sözcü, sınırsız API belirtecinin iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü, otomobil üreticisinin dahili kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını belirtti. Şu ana kadar, kötü niyetli aktörlerin veya siber suçluların Mercedes-Benz'in işini tehlikeye atmak için sırrı keşfedip kötüye kullanabildiğine dair herhangi bir kanıt bulunmamaktadır.