泄露的 GitHub 令牌暴露梅赛德斯源代码

攻击面公司 RedHunt Labs 报告称，梅赛德斯-奔驰员工泄露的 GitHub 令牌提供了对该汽车制造商 GitHub Enterprise 服务器上存储的所有源代码的访问权限。

解读后果：影响评估

• 源代码和数据泄露：攻击者可以从企业代码服务器提取大量知识产权，包括源代码、报告、文件、凭据和 API 密钥。

• 财务后果：此次违规行为可能会给梅赛德斯-奔驰带来严重的财务影响，包括数据盗窃和潜在的知识产权利用，从而导致不可预见的财务损失。

• 违法行为：该事件可能违反“商业秘密和知识产权法”，给梅赛德斯-奔驰和违规行为背后的责任方带来法律后果。

• 违反 GDPR 和德国法律：如果源代码包含客户数据或导致客户数据的凭证，则该违规行为可能会违反 GDPR 和德国法律，例如 Bundesdatenschutzgesetz (BDSG) 或 Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU)。

• 声誉受损：敏感信息的曝光可能会损害梅赛德斯-奔驰的声誉，削弱客户、合作伙伴和利益相关者之间的信任。

事件顺序：时间表

• 事件日期 – 2023 年 9 月 29 日星期五 21:37:17 +0800
  发生了泄露事件，可能会泄露敏感数据。

• 泄漏发现日期 - 2024 年 1 月 11 日，星期四
  RedHunt Labs 的团队在 GitHub 上进行了例行数据泄漏扫描，并发现了数据泄漏，并促使进一步调查。

• 协调启动TechCrunch– 2024 年 1 月 15 日星期一

• TechCrunch向梅赛德斯披露 – 2024 年 1 月 22 日星期一

• 梅赛德斯确认泄漏和令牌撤销 – 2024 年 1 月 24 日星期三
  梅赛德斯-奔驰确认了泄漏，承认情况的严重性，并立即采取行动，撤销了相关的 API 令牌。

• 泄漏修复的重新验证 - 2024 年 1 月 24 日星期三
  RedHunt Labs 团队确认该令牌已被撤销且不再有效。

• 报告发布 – 2024 年 1 月 29 日星期一
  RedHunt Labs 发布了有关该事件的详细报告，强调网络安全措施的重要性

底线：结论

泄露的梅赛德斯 Github Enterprise Server 的 GitHub 令牌为潜在对手打开了访问和下载该组织的整个源代码的网关。深入研究此源代码可能会暴露高度敏感的凭据，从而为针对梅赛德斯-奔驰的极其严重的数据泄露创造温床。

这个问题的严重性怎么强调都不为过，强调迫切需要采取迅速、全面的补救措施。我们紧急要求梅赛德斯-奔驰尽快解决和修复这一安全风险，并恪守对数据隐私和安全的承诺。

该令牌是在互联网扫描过程中发现的，已在该员工的 GitHub 存储库中泄露，并提供了对源代码的不受限制和不受监控的访问。

RedHunt 表示，此次泄露发生在 2023 年 9 月 29 日，但直到 2024 年 1 月 11 日才被发现。梅赛德斯于 1 月 24 日（即收到该事件警报两天后）撤销了泄露的令牌。

RedHunt 指出：“梅赛德斯-奔驰确认了此次泄露，承认情况的严重性，并立即采取行动，撤销了相关 API 令牌。”

RedHunt 表示，在暴露期间，攻击者可能使用该令牌访问 API 密钥、蓝图、云访问密钥、数据库连接字符串、设计文档、文件、报告、源代码、SSO 密码和其他关键内部信息。

这家网络安全公司表示，数据泄露的影响可能超出了广泛的知识产权风险，因为它可能产生重大的财务影响，可能导致违法行为和潜在的声誉损害。

“泄露的梅赛德斯 Github Enterprise Server 的 GitHub 令牌为潜在对手打开了访问和下载该组织的整个源代码的网关。深入研究此源代码可能会暴露高度敏感的凭据，从而为针对梅赛德斯的极其严重的数据泄露创造温床。”RedHunt 指出。

2023 年 10 月，网络安全公司 Palo Alto Networks 警告称，据观察，威胁行为者在公共 GitHub 存储库中泄露的 IAM 凭证在曝光后几分钟内就被获取。本月早些时候， GitHub在得知 GitHub.com 和 GitHub Enterprise Server 中的漏洞可能允许访问生产容器中的凭据后， 轮换了凭据。

原文始发于微信公众号（河南等级保护测评）：泄露的 GitHub 令牌暴露梅赛德斯源代码