据RedHunt Labs最新发布的报告,由于处理不当的GitHub令牌可以不受限制地访问梅赛德斯-奔驰的内部GitHub Enterprise Service,从而将源代码暴露给公众。与许多现代汽车制造商一样,奔驰品牌在其车辆和服务中使用软件,包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理以及电力和电池管理)。据称,2023年9月29 日,RedHunt实验室的研究人员在属于Mercedez员工的公共存储库中发现了GitHub令牌,该令牌可以访问公司内部的GitHub Enterprise Server。该GitHub令牌可以对托管在内部GitHub Enterprise Server上的整个源代码进行‘不受限制’和‘不受监控’的访问。目前尚不清楚除了RedHunt Labs之外是否还有其他人发现了暴露的密钥该事件暴露了包含大量知识产权的敏感存储库,泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 码、API密钥和其他关键内部信息。公开暴露这些数据的后果可能会很严重。源代码泄漏可能导致竞争对手对专有技术进行逆向工程,或导致黑客对其进行仔细检查以查找车辆系统中的潜在漏洞。API密钥的暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司基础设施。如果暴露的存储库包含客户数据,则可能存在法律风险,例如违反GDPR。RedHunt在TechCrunch的帮助下于2024年1月22日向梅赛德斯-奔驰通报了令牌泄露事件,奔驰方面两天后撤销了该令牌,并阻止任何持有和滥用该令牌的人进行访问。
事件起因
这一切都始于RedHunt Labs的一次互联网扫描,当时该实验室发现了Mercedez一名全职员工在他的GitHub存储库中泄露的 GitHub令牌。GitHub令牌提供对内部GitHub Enterprise Server托管的整个源代码的“不受限制”和“不受监控”的访问。
RedHunt Labs联合创始人兼首席技术官舒布姆·米塔尔(Shubham Mittal)向TechCrunch通报了这一事件,并请求帮助向汽车制造商披露此事。这家总部位于伦敦的网络安全公司表示,在一月份的例行互联网扫描中,它在公共GitHub存储库中发现了梅赛德斯员工的身份验证令牌。
该事件暴露了包含大量知识产权的敏感存储库,泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO密码、API密钥和其他关键内部信息。
影响评估
源代码和数据泄露:攻击者可以从企业代码服务器提取大量知识产权,包括源代码、报告、文件、凭据和API密钥。
财务后果:此次违规行为可能会给梅赛德斯-奔驰带来严重的财务影响,包括数据盗窃和潜在的知识产权利用,从而导致不可预见的财务损失。
违法行为:该事件可能违反“商业秘密和知识产权法”,给梅赛德斯-奔驰和违规行为背后的责任方带来法律后果。
违反GDPR和德国法律:如果源代码包含客户数据或导致客户数据的凭据,则该违规行为可能会违反GDPR和德国法律,例如Bundesdatenschutzgesetz(BDSG)或Datenschutz-Anpassungs- und Umsetzungsgesetz EU(DSAnpUG-EU)。
声誉受损:敏感信息的曝光可能会损害梅赛德斯-奔驰的声誉,削弱客户、合作伙伴和利益相关者之间的信任。
事件响应
TechCrunch于1月22日向梅赛德斯披露了这一安全问题。24日,梅赛德斯发言人Katja Liesenfeld证实,该公司“立即撤销了相应的API令牌并删除了公共存储库”。
网络安全媒体BleepingComputer已联系Mercedes-Benz,了解他们是否在其GitHub服务器上发现任何未经授权访问的迹象,该媒体收到了以下回复:
我们可以确认,包含内部访问令牌的源代码是由于人为错误而发布在公共GitHub存储库上的。
此令牌允许访问一定数量的存储库,但不能访问内部GitHub Enterprise Server上托管的整个源代码。
我们已撤销相应的令牌并立即删除公共存储库。正如我们当前的分析所示,客户数据没有受到影响。
我们将按照正常流程继续分析此案。
--梅赛德斯-奔驰
该汽车制造商告诉BleepingComputer,出于安全原因,他们不想分享该事件的技术细节,因此尚不清楚他们是否检测到未经授权的访问。此外,该公司表示愿意与世界各地的研究人员合作,并通过其漏洞披露计划接受安全报告。
事件时间表
事件日期–2023年9月29日,星期五 21:37:17 +0800
发生了泄露事件,可能会泄露敏感数据。
泄漏发现日期-2024年1月11日,星期四
RedHunt Labs的团队在GitHub上进行了例行数据泄漏扫描,并发现了数据泄漏,并促使进一步调查。
协调启动,TechCrunch–2024年1月15日,星期一
TechCrunch向梅赛德斯披露–2024年1月22日,星期一
梅赛德斯确认泄漏和令牌撤销 –2024年1月24日,星期三
梅赛德斯-奔驰确认了泄漏,承认情况的严重性,并立即采取行动,撤销了相关的API令牌。
泄漏修复的重新验证 -2024年1月24日,星期三
RedHunt Labs团队确认该令牌已被撤销且不再有效。
报告发布–2024年1月29日,星期一
RedHunt Labs发布了有关该事件的详细报告,强调网络安全措施的重要性
结论及建议
泄露的梅赛德斯Github Enterprise Server的GitHub令牌漏为潜在对手打开了访问和下载该组织的整个源代码的网关。深入研究此源代码可能会暴露高度敏感的凭据,从而为针对梅赛德斯-奔驰的极其严重的数据泄露创造温床。
类似事件时有发生,2022年10月,日本丰田汽车透露,由于GitHub访问密钥暴露,个人客户信息在五年内仍可公开访问。
此事披露之前,TechCrunch还独家报道称,现代汽车印度子公司修复了一个漏洞,该漏洞暴露了其客户的个人信息,包括现代汽车印度客户的姓名、邮寄地址、电子邮件地址和电话号码,这些客户的车辆在现代汽车旗下的加油站进行了维修。
这种隐蔽的访问很难被发现,因为仅当GitHub Enterprise实例的所有者激活了审核日志(通常包括IP地址)时,这些事件才会生成恶意利用的证据。
这一问题的严重性怎么强调都不为过,强调迫切需要采取迅速、全面的补救措施。建议梅赛德斯-奔驰尽快解决和修复这一安全风险,并恪守对数据隐私和安全的承诺。
参考资源:
1.https://www.bleepingcomputer.com/news/security/a-mishandled-github-token-exposed-mercedes-benz-source-code/
2.https://redhuntlabs.com/blog/mercedes-benz-source-code-at-risk-github-token-mishap-sparks-major-security-concerns/
3.https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/?
原文始发于微信公众号(CNCERT国家工程研究中心):奔驰汽车源代码面临泄露风险!人为错误致GitHub令牌事故引发重大安全担忧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论