Mercedes случайно сподели своя изходен код и бизнес тайни с цял свят
Смущаваща човешка неточност излага на риск ИТ сигурността на немския производител на коли
Емил Василев преди 46 секунди 0 СподелиНай-четени
IT НовиниЕмил Василев - 20:20 | 30.01.2024Българската компания Хадес стартира всеобщо произвеждане на дрон камикадзе и получава огромна поръчка от Украйна
НаукаЕмил Василев - 16:41 | 30.01.2024Физици откриха доказателства за обратимост на времето в стъклото
ХардуерДаниел Десподов - 12:05 | 31.01.2024RTX CHIMERA е новата микровълнова система за изпичане на дронове от разстояние
Емил Василевhttps://www.kaldata.com/Изследователите по сигурността постоянно сканират интернет в търсене на незащитени сървъри или разкрити „ секрети “, принадлежащи на огромни компании в промишлеността. Това, което RedHunt Labs откри неотдавна обаче надалеч надвишава елементарния беззащитен сървър, на който се намират поверителни данни.
Базираната в Обединеното кралство компания за сигурност RedHunt Labs неотдавна откри токън за засвидетелствуване, принадлежащ на чиновник на Mercedes-Benz. Токенът е бил хостван в обществено вместилище на GitHub, както съобщи съоснователят на RedHunt Шубхам Митал. Било е допустимо той да бъде употребен за приемане на „ безграничен достъп “ до бизнес секрети и други значими удостоверителни данни на немския авто колос.
RedHunt разпознава изложби токен за засвидетелствуване по време на рутинно сканиране в интернет през януари, само че самият токен е бил оповестен още през септември 2023 година. Използвайки частния ключ, злонамерени лица или киберпрестъпници са могли да получат цялостен достъп до корпоративния GitHub сървър, благосъстоятелност на Mercedes-Benz. Обемът и чувствителността на данните, съхранявани на упоменатия сървър са били в действителност зашеметяващи.
GitHub токенът е осигурявал „ безграничен “ и „ неконтролиран “ достъп до огромно количество файлове с интелектуална благосъстоятелност на Mercedes-Benz. Включително чертежи, планови документи и друга „ сериозна “ вътрешна информация.
Митал акцентира, че на сървъра са се намирали и ключове за достъп до облак, API ключове и спомагателни пароли, които е можело да бъдат употребявани за нарушение на цялата ИТ инфраструктура на автомобилния производител, създавайки невиждана и безредна обстановка.
Още по-лошо, Митал удостовери (с доказателства), че несигурните складове са разкрили ключове за достъп до сървъри на Microsoft Azure и Amazon Web Services (AWS), база данни Postgres и даже изходния код на софтуера на Mercedes-Benz. Според откривателя на сигурността на засегнатите сървъри не са били хоствани данни на клиенти.
RedHunt споделя детайлности за смущаващия случай със сигурността с изданието TechCrunch, което по-късно разкрива казуса на Mercedes-Benz. Говорител на немската компания скоро удостовери, че неограниченият API токен е бил лишен, а общественото вместилище е било отстранено „ неотложно “.
Вътрешният първоначален код на автомобилния производител е бил оповестен по нехайство на обществен сървър на GitHub заради човешка неточност. Все още се организира вътрешно следствие и надлежно ще бъдат приложени спомагателни „ коригиращи ограничения “.
Неконтролираният токен е бил изложен на обществен достъп в продължение на месеци. И въпреки всичко, до момента няма доказателства, че злонамерени лица или киберпрестъпници са съумели да открият и да злоупотребят с него, с цел да компрометират бизнеса на Mercedes-Benz. Компанията не удостовери дали е съумяла да открие незнайни опити за достъп до своите системи посредством дневници за достъп или други ограничения за сигурност.
