​私钥外泄引爆安全炸弹,奔驰 GitHub 完整源代码和机密数据泄露

看板网

私钥外泄引爆安全炸弹,奔驰 GitHub 完整源代码和机密数据泄露

IT 之家 2 月 1 日消息,梅赛德斯 - 奔驰由于没有妥善处理 GitHub 私钥,导致外界可不受限制地访问内部 GitHub 企业服务,而且整个源代码都被泄露出来。

梅赛德斯 - 奔驰(Mercedes-Benz)是德国知名的汽车、巴士和卡车制造商,以其丰富的创新历史、豪华的设计和一流的制造质量而闻名于世。

奔驰和很多其它车企一样,开发包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理,以及电力和电池管理(电动汽车)等系统。

IT 之家查询相关报道,事情起因是 RedHunt 实验室的研究人员于 2023 年 9 月 29 日搜索时候,在属于 Mercedez 员工的公共仓库中发现了一个 GitHub 私钥,该私钥可访问公司内部的 GitHub 企业服务器。

RedHunt 实验室的报告指出,利用该 GitHub   私钥,可以 " 不受限制 " 和 " 不受监控 " 地访问托管在内部 GitHub 企业服务器上的全部源代码。

这次事件暴露了存放大量知识产权的敏感存储库,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。

正如研究人员解释的那样,公开暴露这些数据的后果可能很严重。源代码泄露可能导致竞争对手对专有技术进行反向工程,或黑客对其进行仔细检查,以发现汽车系统中的潜在漏洞。

此外,API 密钥的暴露还可能导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。

RedHunt Labs 还提到,如果被暴露的存储库中包含客户数据,就有可能触犯 GDPR 等法律 。不过,研究人员尚未验证被暴露文件的内容。

在 TechCrunch 的帮助下,RedHunt 于 2024 年 1 月 22 日向梅赛德斯 - 奔驰通报了令牌泄露的情况,奔驰在两天后撤销了私钥,阻止了任何持有和滥用该私钥的人访问。

这一事件类似于 2022 年 10 月发生的丰田汽车安全事故,当时这家日本汽车制造商披露,由于 GitHub 访问密钥被暴露,客户个人信息在五年的时间里仍可被公开访问。

标签:

相关推荐

​美国阻止中国获得AI云算力,长远来看影响有限

​美国阻止中国获得AI云算力,长远来看影响有限

116

美国阻止中国获得AI云算力,长远来看影响有限 集微网报道 (文 / 陈炳欣)中国 AI 大模型使用美国云服务训练或将受到限制。1 月 29 日,美国商务部在联邦公报中正式公布《采取额外...

​女子发愁春节红包:我1个娃对方3个

73

女子发愁春节红包:我1个娃对方3个 2 月 1 日消息,据国内多家媒体报道,随着春节的到来, 红包难题 让很多人困扰,春节该派多少红包是不少人关心的话题。 浙江一女子就被 红包问...

​解除50W封印后,无线充迎来高速大功率时代

​解除50W封印后,无线充迎来高速大功率时代

148

解除50W封印后,无线充迎来高速大功率时代 在文章开始之前,想问大家两个问题:你现在充电时用的是有线充,还是座式无线充,亦或是苹果的 Magsafe 呢?如果有这么一台支持 100W 无线...

​谷歌 Pixel 8 系列手机已支持 "圈选搜索" 功能

​谷歌 Pixel 8 系列手机已支持 "圈选搜索" 功能

98

谷歌 Pixel 8 系列手机已支持 圈选搜索 功能 IT 之家 2 月 1 日消息,谷歌一开始向 Pixel 8 和 Pixel 8 Pro 手机推送 圈选搜索(Circle to Search) 的功能。该功能此前率先在三星 Galaxy S24 系列手机...

​董宇辉风头盖过东方甄选 俞敏洪独立之路遇险

​董宇辉风头盖过东方甄选 俞敏洪独立之路遇险

89

董宇辉风头盖过东方甄选 俞敏洪独立之路遇险 作者 | 张睿出品丨深网 · 腾讯新闻小满工作室 相比 与辉同行 如今的热闹景象,东方甄选直播间要显得冷清了许多。 1 月 31 日晚,演员刘...

​周鸿祎表白偶像刘德华:喜欢你两点

​周鸿祎表白偶像刘德华:喜欢你两点

110

周鸿祎表白偶像刘德华:喜欢你两点 快科技 2 月 1 日消息,今晚,周鸿祎在直播时 表白 刘德华: 我作为你的粉丝、影迷,见到你很激动。 他甚至还用粤语说道: 我好中意你啊 。 周...