RedHunt Labs a fait part de ses conclusions à TechCrunch et, avec l'aide du média, a averti le constructeur automobile. La société de sécurité a découvert qu'un jeton d'authentification appartenant à un employé de Mercedes avait été laissé exposé dans un dépôt GitHub public. La découverte a été faite au cours d'une analyse Internet de routine en janvier.
Le jeton divulgué pouvait potentiellement fournir un accès illimité au serveur d'entreprise GitHub de Mercedes, permettant à quiconque de récupérer les référentiels de code source privés de l'entreprise.
"Le jeton GitHub donnait un accès illimité et non surveillé à l'ensemble du code source hébergé sur le serveur interne GitHub Enterprise Server", a déclaré Shubham Mittal, cofondateur et directeur de la technologie de RedHunt Labs, à TechCrunch. "Les référentiels comprennent une grande quantité de propriété intellectuelle... des chaînes de connexion, des clés d'accès au cloud, des plans, des documents de conception, des mots de passe [d'authentification unique], des clés d'API et d'autres informations internes essentielles."
Mittal a présenté à TechCrunch des preuves attestant de l'existence d'identifiants Microsoft Azure et Amazon Web Services (AWS), d'une base de données Postgres et du code source de Mercedes dans la base de données.
Lorsque Mercedes a eu connaissance de la fuite de données, elle a révoqué le jeton exposé et supprimé le référentiel public. Après que TechCrunch a révélé le problème de sécurité à Mercedes, Katja Liesenfeld, porte-parole de Mercedes, a confirmé que la société avait "révoqué le jeton API correspondant et supprimé immédiatement le référentiel public".
"Nous pouvons confirmer qu'un code source interne a été publié sur un dépôt GitHub public par erreur humaine", a déclaré Katja Liesenfeld, porte-parole de Mercedes, à TechCrunch. "La sécurité de notre organisation, de nos produits et de nos services est l'une de nos principales priorités." "Nous allons continuer à analyser ce cas conformément à nos processus habituels. En fonction de cela, nous mettrons en œuvre des mesures correctives."
L'enquête sur la violation a révélé que le jeton était exposé en ligne depuis fin septembre 2023. Toutefois, il n'est pas certain que d'autres acteurs aient obtenu un accès non autorisé aux données du constructeur automobile.
"Mercedes a refusé de dire si elle était au courant de l'accès d'un tiers aux données exposées ou si l'entreprise avait la capacité technique, comme les journaux d'accès, de déterminer s'il y avait eu un accès inapproprié à ses référentiels de données. Le porte-parole a invoqué des raisons de sécurité non précisées", conclut TechCrunch.
Sources : RedHunt Labs, TechCrunch
Et vous ?
Quel est votre avis sur cette affaire ?
Voir aussi :
Des millions de dossiers .git exposés publiquement par erreur, une nouvelle étude le montre
Toyota a accidentellement exposé une clé secrète publiquement sur GitHub pendant cinq ans, provoquant une fuite de données et donnant notamment accès aux données de plus de 290 000 clients
Le code source représente la catégorie de données sensibles la plus couramment partagée sur ChatGPT. Des données sensibles sont partagées avec des applications d'IA générative chaque heure