Mercedes-Benz ekspozoi aksidentalisht një grumbull të dhënash të brendshme pasi publikoi një “çelës privat” në internet që siguronte qasje të pakufizuar në source code të kompanisë. Kjo gjë u bë e ditur nga Shubham Mittal, bashkëthemelues dhe shef i teknologjisë i RedHunt Labs.
Kompania e sigurisë kibernetike me bazë në Londër tha se zbuloi të dhënat e verifikimit të një punonjësi të Mercedesit në publikim në GitHub gjatë një skanimi rutinë të internetit në janar. Sipas Mittal, këto të dhëna verifikimi– një alternativë ndaj përdorimit të një fjalëkalimi për vërtetimin në GitHub – mund t’i japë kujtdo qasje të plotë në GitHub Enterprise Server të Mercedes, duke lejuar kështu shkarkimin e informacioneve private të kodit burimor të kompanisë.
“Ky token në GitHub siguron akses ‘të pakufizuar’ dhe ‘të pa monitoruar’ në të gjithë source code në serverin e brendshëm të GitHub Enterprise,” shpjegoi Mittal.
“Në to përfshihet një sasi e madhe e pronësisë intelektuale… cloud acces keys, projektet, dokumentet e projektimit, fjalëkalimet [hyrja e vetme], çelësat API dhe informacione të tjera kritike të brendshme.”
Nuk dihet nëse në këto publikime përfshihen të dhëna të përdoruesve të Mercedes-Benz.
Të mërkurën, zëdhënësja e Mercedes, Katja Liesenfeld konfirmoi se kompania e zgjidhi këtë problem. “Ne mund të konfirmojmë se kodi burimor i brendshëm është publikuar në një depo publike të GitHub nga gabimi njerëzor,” tha Liesenfeld. “Siguria e organizatës, produkteve dhe shërbimeve tona është një nga prioritetet tona kryesore. Ne do të vazhdojmë ta analizojmë këtë rast sipas proceseve tona normale. Në varësi të kësaj, ne zbatojmë masa korrigjuese”, shtoi Liesenfeld.
