«Mercedes-Benz expuso accidentalmente un tesoro de datos internos después de dejar en línea una clave privada que proporcionaba acceso ilimitado al código fuente de la compañía, según la firma de investigación en seguridad que lo descubrió.
Shubham Mittal, cofundador y director de tecnología de RedHunt Labs, alertó a TechCrunch sobre la exposición y pidió ayuda para divulgarlo al fabricante de automóviles. La empresa de ciberseguridad con sede en Londres dijo que descubrió el token de autenticación de un empleado de Mercedes en un repositorio público de GitHub durante un escaneo de Internet de rutina en enero.
Según Mittal, este token, que es una alternativa al uso de una contraseña para autenticarse en GitHub, podría otorgar a cualquier persona acceso completo al Servidor de Empresa de GitHub de Mercedes, lo que permitiría la descarga de los repositorios de código fuente privado de la compañía.
«El token de GitHub dio acceso «ilimitado» y «sin supervisión» a todo el código fuente alojado en el Servidor Interno de GitHub de la empresa», Mittal explicó en un informe compartido por TechCrunch. «Los repositorios incluyen una gran cantidad de propiedad intelectual… cadenas de conexión, claves de acceso a la nube, planos, documentos de diseño, contraseñas de inicio de sesión único, claves de API y otra información interna crítica».
Mittal proporcionó a TechCrunch pruebas de que los repositorios expuestos contenían claves de Azure y Amazon Web Services (AWS), una base de datos de Postgres y código fuente de Mercedes. No se sabe si algún datos de clientes se encontraba dentro de los repositorios.
TechCrunch reveló el problema de seguridad a Mercedes el lunes. El miércoles, la portavoz de Mercedes, Katja Liesenfeld, confirmó que la compañía» revocó el token de API respectivo y eliminó inmediatamente el repositorio público.»
«Podemos confirmar que el código fuente interno fue publicado en un repositorio público de GitHub por error humano,» dijo Liesenfeld en un comunicado a TechCrunch. «La seguridad de nuestra orgaización, productos y servicios es una de nuestras principales prioridades.»
«Continuaremos analizando este caso de acuerdo con nuestros procesos normales. Dependiendo de esto, implementamos medidas remediales,» agregó Liesenfeld.
No se sabe si cualquier otra persona, además de Mittal, descubrió la clave expuesta, que se publicó a finales de septiembre de 2023.
Mercedes se negó a decir si tiene conocimiento de algún acceso de terceros a los datos expuestos o si la empresa tiene la capacidad técnica, como registros de acceso, para determinar si hubo acceso indebido a sus repositorios de datos. El portavoz citó razones de seguridad no especificadas.
La semana pasada, TechCrunch informó en exclusiva que la filial de India de Hyundai corrigió un error que expuso la información personal de sus clientes, incluidos los nombres, direcciones de envío, direcciones de correo electrónico y números de teléfono de los clientes de Hyundai Motor India, que llevaron sus vehículos a estaciones de servicio propiedad de Hyundai en toda India.»
