目录导航
前言
在最近发生的一系列事件中,RedHunt Labs 的攻击面管理 (ASM) 研究团队发现了一起涉及汽车巨头梅赛德斯-奔驰的潜在灾难性数据泄露事件。这一事件不仅使组织面临风险,还对更广泛的数据安全问题敲响了警钟。
概述
这一切都始于我们的一次互联网扫描,当时我们发现了 Mercedez 一名全职员工在他的 GitHub 存储库中泄露的 GitHub 令牌。 GitHub 令牌提供对内部 GitHub Enterprise Server 托管的整个源代码的“不受限制”和“不受监控”的访问。
该事件暴露了包含大量知识产权的敏感存储库,泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他关键内部信息。
影响
- 源代码和数据泄露:攻击者可以从企业代码服务器提取大量知识产权,包括源代码、报告、文件、凭据和 API 密钥。
- 财务后果:此次违规行为可能会给梅赛德斯-奔驰带来严重的财务影响,包括数据盗窃和潜在的知识产权利用,从而导致不可预见的财务损失。
- 违法行为:该事件可能违反“商业秘密和知识产权法”,给梅赛德斯-奔驰和违规行为背后的责任方带来法律后果。
- 违反 GDPR 和德国法律:如果源代码包含客户数据或导致客户数据的凭据,则该违规行为可能会违反 GDPR 和德国法律,例如 Bundesdatenschutzgesetz (BDSG) 或 Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU)。
- 声誉受损:敏感信息的曝光可能会损害梅赛德斯-奔驰的声誉,削弱客户、合作伙伴和利益相关者之间的信任。
时间表
- 事件日期 – 2023 年 9 月 29 日星期五 21:37:17 +0800
发生了泄露事件,可能会泄露敏感数据。 - 泄漏发现日期 – 2024 年 1 月 11 日,星期四
RedHunt Labs 的团队在 GitHub 上进行了例行数据泄漏扫描,并发现了数据泄漏,并促使进一步调查。 - 协调启动TechCrunch– 2024 年 1 月 15 日星期一
- TechCrunch 向梅赛德斯披露 – 2024 年 1 月 22 日星期一
- 梅赛德斯确认泄漏和令牌撤销 – 2024 年 1 月 24 日星期三
梅赛德斯-奔驰确认了泄漏,承认情况的严重性,并立即采取行动,撤销了相关的 API 令牌。 - 泄漏修复的重新验证 – 2024 年 1 月 24 日星期三
RedHunt Labs 团队确认该令牌已被撤销且不再有效。 - 报告发布 – 2024 年 1 月 29 日星期一
RedHunt Labs 发布了有关该事件的详细报告,强调网络安全措施的重要性
结论
泄露的梅赛德斯 Github Enterprise Server 的 GitHub 令牌为潜在对手打开了访问和下载该组织的整个源代码的网关。深入研究此源代码可能会暴露高度敏感的凭据,从而为针对梅赛德斯-奔驰的极其严重的数据泄露创造温床。
这一问题的严重性怎么强调都不为过,强调迫切需要采取迅速、全面的补救措施。我们紧急要求梅赛德斯-奔驰尽快解决和修复这一安全风险,并恪守对数据隐私和安全的承诺。
转载请注明出处及链接