Nach Angaben des Sicherheitsforschungsunternehmens, das ihn entdeckt hatte, hat Mercedes-Benz versehentlich einen Schatz interner Daten preisgegeben, nachdem es einen privaten Schlüssel online gelassen hatte, der „uneingeschränkten Zugriff“ auf den Quellcode des Unternehmens ermöglichte.
Shubham Mittal, Mitbegründer und Chief Technology Officer von RedHunt Labs, machte Tech auf die Enthüllung aufmerksam und bat um Hilfe bei der Offenlegung gegenüber dem Autohersteller. Das in London ansässige Cybersicherheitsunternehmen gab an, bei einem routinemäßigen Internet-Scan im Januar das Authentifizierungstoken eines Mercedes-Mitarbeiters in einem öffentlichen GitHub-Repository entdeckt zu haben.
Laut Mittal könnte dieses Token – eine Alternative zur Verwendung eines Passworts für die Authentifizierung bei GitHub – jedem vollständigen Zugriff auf den GitHub Enterprise Server von Mercedes gewähren und so den Download der privaten Quellcode-Repositories des Unternehmens ermöglichen.
„Der GitHub-Token ermöglichte ‚uneingeschränkten‘ und ‚unüberwachten‘ Zugriff auf den gesamten Quellcode, der auf dem internen GitHub Enterprise Server gehostet wird“, erklärte Mittal in einem von Tech geteilten Bericht. „Die Repositories enthalten eine große Menge an geistigem Eigentum … Verbindungszeichenfolgen, Cloud-Zugriffsschlüssel, Blaupausen, Designdokumente, [single sign-on] Passwörter, API-Schlüssel und andere wichtige interne Informationen.“
Mittal lieferte Tech Beweise dafür, dass die offengelegten Repositories Microsoft Azure- und Amazon Web Services (AWS)-Schlüssel, eine Postgres-Datenbank und Mercedes-Quellcode enthielten. Es ist nicht bekannt, ob Kundendaten in den Repositories enthalten waren.
Tech hat Mercedes am Montag das Sicherheitsproblem mitgeteilt. Am Mittwoch bestätigte Mercedes-Sprecherin Katja Liesenfeld, dass das Unternehmen „den entsprechenden API-Token widerrufen und das öffentliche Repository sofort entfernt hat“.
„Wir können bestätigen, dass der interne Quellcode durch menschliches Versagen in einem öffentlichen GitHub-Repository veröffentlicht wurde“, sagte Liesenfeld in einer Erklärung gegenüber Tech. „Die Sicherheit unserer Organisation, Produkte und Dienstleistungen ist eine unserer obersten Prioritäten.“
„Wir werden diesen Fall weiterhin gemäß unseren normalen Prozessen analysieren. Abhängig davon leiten wir Abhilfemaßnahmen ein“, fügte Liesenfeld hinzu.
Es ist nicht bekannt, ob außer Mittal noch jemand anderes den offengelegten Schlüssel entdeckt hat, der Ende September 2023 veröffentlicht wurde.
Mercedes wollte nicht sagen, ob ihm ein Zugriff Dritter auf die offengelegten Daten bekannt ist oder ob das Unternehmen technisch in der Lage ist, beispielsweise anhand von Zugriffsprotokollen, festzustellen, ob ein unzulässiger Zugriff auf seine Datenbestände stattgefunden hat. Der Sprecher nannte nicht näher bezeichnete Sicherheitsgründe.
Letzte Woche berichtete Tech exklusiv, dass die indische Tochtergesellschaft von Hyundai einen Fehler behoben habe, durch den die persönlichen Daten ihrer Kunden offengelegt wurden, darunter die Namen, Postanschriften, E-Mail-Adressen und Telefonnummern von Hyundai Motor India-Kunden, deren Fahrzeuge an Hyundai-eigenen Stationen gegenüber gewartet wurden Indien.