Token GitHub usado errado expôs código-fonte da Mercedes-Benz

Da Redação
31/01/2024

Um token GitHub utilizado incorretamente deu acesso irrestrito ao GitHub Enterprise Service interno da Mercedes-Benz, expondo o código-fonte ao público. A montadora alemã de automóveis, ônibus e caminhões, reconhecida por sua história de inovação, designs luxuosos e alta qualidade de fabricação, utiliza software nos seus veículos e serviços, incluindo sistemas de segurança e controle, infoentretenimento, condução autônoma, ferramentas de diagnóstico e manutenção, conectividade e telemática, e gestão de energia elétrica e bateria para  veículos elétricos (EVs).

Em 29 de setembro de 2023, pesquisadores do RedHunt Labs descobriram um token GitHub em um repositório público pertencente a um funcionário da Mercedez que dava acesso ao GitHub Enterprise Server interno da empresa. “O token GitHub deu acesso irrestrito e não monitorado a todo o código-fonte hospedado no GitHub Enterprise Server interno”, diz o relatório do fornecedor de sistemas de segurança.

“O incidente revelou repositórios confidenciais que abrigam produtos de propriedade intelectual, informações sobre cadeias de conexão de banco de dados, chaves de acesso à nuvem, projetos, documentos de design, senhas SSO [Single Sign On], chaves de API e outras informações internas críticas”, completa o documento.

Como explicaram os investigadores, as consequências da exposição pública desses dados podem ser graves. Vazamentos de código-fonte podem levar concorrentes a fazer engenharia reversa de tecnologia proprietária ou fazer com que hackers busquem por vulnerabilidades potenciais nos sistemas de veículos. Além disso, a exposição de chaves de API pode levar ao acesso não autorizado a dados, à interrupção do serviço e ao abuso da infraestrutura da empresa para fins maliciosos.

Veja isso
Repositórios do GitHub assolados por roubo de informações
Cryptojacker rouba credenciais da AWS no GitHub em 5 minutos

O RedHunt Labs também menciona a possibilidade de violações a normas legais, como a violação doRegulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, caso os repositórios expostos contivessem dados de clientes. Porém, os pesquisadores não validaram o conteúdo dos arquivos expostos.

O RedHunt Labs, com a ajuda do TechCrunch, informou a Mercedes-Benz sobre o vazamento do token no dia 22 deste mês, e o revogou dois dias depois, bloqueando o acesso a qualquer pessoa que o possuísse e explorasse. Este incidente se assemelha à violação de segurança da Toyota ocorrido em outubro de 2022, quando a montadora japonesa revelou que as informações pessoais dos clientes permaneceram acessíveis ao público por cinco anos devido a uma chave de acesso exposta do GitHub.

Para ter acesso ao relatório completo do RedHunt Labs, em inglês, clique aqui.

Compartilhar: