梅赛德斯源代码通过 GitHub 令牌泄露而暴露

梅赛德斯-奔驰是最大的高档汽车品牌之一，每年销售数百万辆乘用车。梅赛德斯品牌所有者梅赛德斯-奔驰集团 (Mercedes-Benz Group AG) 报告收入超过 1,330 亿欧元（1,440 亿美元）。该公司拥有超过 170,000 名员工。

泄露的 GitHub 令牌可以不受限制地访问该汽车制造商的源代码，从而暴露知识产权密码和云访问密钥。前段时间，在公共存储库中发现了该公司一名员工拥有的梅赛德斯-奔驰 GitHub 代币。RedHunt 实验室的研究人员表示，该令牌可以访问公司内部的 GitHub Enterprise Server。

报告称：“该事件暴露了包含大量知识产权的敏感存储库，泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他关键内部信息。”

研究人员表示，暴露的令牌可能允许攻击者以各种方式利用可访问的令牌。例如，恶意行为者可能访问了梅赛德斯的源代码，提取了知识产权、报告、文件、凭证和其他有价值的信息。

据研究人员称，虽然 GitHub 令牌在 9 月份就被曝光，但研究人员直到 1 月 11 日才发现它，梅赛德斯于 24 日撤销了它。这意味着该公司的 GitHub Enterprise Server 可能在几个月的时间内在无人知晓的情况下被访问。

“梅赛德斯 GitHub Enterprise Server 的 GitHub 令牌被泄露，为潜在对手打开了访问和下载该组织整个源代码的网关。研究人员表示，深入研究该源代码可能会暴露高度敏感的凭据，从而为针对梅赛德斯-奔驰的极其严重的数据泄露创造温床。