Um token do GitHub mal manipulado deu acesso irrestrito ao serviço interno do GitHub Enterprise da Mercedes-Benz, expondo o código fonte ao público.
A Mercedes-Benz é uma prestigiada fabricante alemã de carros, ônibus e caminhões, reconhecida por sua rica história de inovação, designs luxuosos e qualidade de construção superior.
Como muitos fabricantes de automóveis modernos, a marca usa software em seus veículos e serviços, incluindo sistemas de segurança e controle, infoentretenimento, condução autônoma, ferramentas de diagnóstico e manutenção, conectividade e telemática e gerenciamento de energia elétrica e bateria (para VE's).
Em 29 de setembro de 2023, pesquisadores da RedHunt Labs descobriram um token do GitHub em um repositório público pertencente a um funcionário da Mercedez que dava acesso ao servidor interno do GitHub Enterprise da empresa.
"O token do GitHub deu acessos 'irrestritos' e 'não monitorados' a todo o código fonte hospedado no servidor interno do GitHub Enterprise", lê-se o relatório da RedHunt Labs.
"O incidente expôs repositórios sensíveis que abrigam uma grande quantidade de propriedade intelectual, e as informações comprometidas incluíam cordas de conexão de banco de dados, chaves de acesso à nuvem, projetos, documentos de design, senhas SSO, chaves API e outras informações internas críticas."
Como os pesquisadores explicaram, as consequências da exposição pública desses dados podem ser graves.
Vazamentos de código fonte podem levar a competidores a decodificarem a tecnologia proprietária ou hackers a analisá-la em busca de potenciais vulnerabilidades nos sistemas de veículos.
Além disso, a exposição de chaves API pode levar a acesso não autorizado de dados, interrupção de serviço, e abuso da infraestrutura da empresa para fins maliciosos.
A RedHunt Labs também menciona a possibilidade de violações legais, como infração ao GDPR, no caso de os repositórios expostos conterem dados de clientes.
No entanto, os pesquisadores não validaram o conteúdo dos arquivos expostos.
A RedHunt, com a ajuda do TechCrunch, informou à Mercedes-Benz sobre o vazamento de token em 22 de janeiro de 2024, e o revogou dois dias depois, bloqueando o acesso a qualquer pessoa que estivesse detendo e abusando dele.
Este incidente lembra um erro de segurança da Toyota em outubro de 2022, quando a fabricante de automóveis japonesa revelou que informações pessoais de clientes permaneceram publicamente acessíveis por cinco anos devido a uma chave de acesso do GitHub exposta.
Esses incidentes só geram evidências de exploração maliciosa se os proprietários de instâncias do GitHub Enterprise ativaram registros de auditoria, que normalmente incluem endereços IP.
O BleepingComputer entrou em contato com a Mercedes-Benz para saber se eles viram algum sinal de acesso não autorizado em seu servidor do GitHub, e recebemos a seguinte resposta:
O fabricante de automóveis informou ao BleepingComputer que não deseja compartilhar detalhes técnicos sobre o incidente por motivos de segurança, portanto, não está claro se eles detectaram acesso não autorizado ou não.
Além disso, a empresa disse que está aberta a trabalhar com pesquisadores de todo o mundo e aceita relatórios de segurança através de seu programa de divulgação de vulnerabilidades.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...