Güvenlik araştırmacıları, büyük endüstri oyuncularına ait korunmasız sunucuları veya açıkta kalan "sırları" bulmak için interneti düzenli olarak tarıyorlar. İngiltere merkezli güvenlik şirketi RedHunt Labs'ın yaptığı taramada, Mercedes-Benz'e ait kaynak kodunu ve ticari sırları içeren bir GitHub deposu keşfedildi.
RedHunt Labs'ın kurucu ortağı Shubham Mittal'a göre, GitHub'da bulunan bir kimlik doğrulama belirteci, Alman otomotiv devinin ticari sırlarına ve diğer önemli kimlik doğrulama bilgilerine "sınırsız erişim" sağlamak için kullanılmış olabilir. RedHunt, ocak ayında rutin bir internet taraması sırasında bu kimlik doğrulama belirtecini keşfetmiş olsa da belirtecin kendisi Eylül 2023'te yayınlanmıştı. Bu nedenle, kötü niyetli kişiler veya siber suçluların özel anahtar kullanarak Mercedes-Benz'e ait bir GitHub Kurumsal Sunucusuna tam erişim sağlamış olabilecekleri endişesi bulunmaktadır.
BASİT AMA KRTİK BİR HATA!
Söz konusu sunucuda depolanan verilerin hacmi ve hassasiyeti gerçekten şaşırtıcı. GitHub belirteci, planlar, tasarım belgeleri ve diğer "kritik" dahili bilgiler de dahil olmak üzere büyük miktarda Mercedes-Benz fikri mülkiyet dosyasına sınırsız ve izlenmeyen erişim sağlıyordu. RedHunt Labs, sunucunun aynı zamanda bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri de içerdiğini ve bunların otomobil üreticisinin tüm BT altyapısını bozmak için kullanılabileceğini, benzeri görülmemiş ve kaotik bir durum yaratabileceğini vurguladı.
Daha da kötüsü, RedHunt Labs, güvensiz depoların Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veritabanını ve hatta Mercedes-Benz yazılımının kaynak kodunu ifşa ettiğini (kanıtlarla) doğruladı. Olayın belki de tek olumlu yanı, etkilenen sunucuların hiçbirinde müşteri verisinin bulunmaması.
Mercedes-Benz şirketinden bir sözcü, kısa süre içinde sınırsız API belirtecinin iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü, otomobil üreticisinin dahili kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını söyledi.
Denetlenmeyen belirteç aylarca kamunun erişimine açık kaldı, ancak şu ana kadar kötü niyetli aktörlerin veya siber suçluların Mercedes-Benz'in işini tehlikeye atmak için sırrı keşfedip kötüye kullanabildiklerine dair bir kanıt bulunmamaktadır.