Mercedes-Benz ha involontariamente esposto il proprio codice sorgente e segreti aziendali, mettendo a repentaglio la sicurezza informatica dell'azienda automobilistica tedesca. La scoperta è stata effettuata da RedHunt Labs, una società di sicurezza con sede nel Regno Unito.
Durante una scansione di routine svolta lo scorso gennaio, gli esperti di sicurezza hanno individuato un token di autenticazione, appartenente a un dipendente di Mercedes-Benz, ospitato in un repository pubblico di GitHub.
Questo token, che era stato pubblicato su GitHub nel settembre 2023, avrebbe potuto consentire a praticamente qualsivoglia cyber criminale, di ottenere accesso illimitato ai segreti commerciali e alle altre credenziali di autenticazione dell'azienda automobilistica.
Il token forniva accesso "illimitato" e "non monitorato" a una vasta quantità di file di proprietà intellettuale di Mercedes-Benz, tra cui progetti, documenti di progettazione e altre informazioni interne "critiche". I
n modo preoccupante, il server ospitava anche chiavi di accesso cloud, chiavi API e password aggiuntive, rappresentando una potenziale minaccia per l'intera infrastruttura IT del produttore di automobili.
Ulteriori rischi sono emersi quando è stato rivelato che i repository non sicuri esposti contenevano chiavi per i server Microsoft Azure e Amazon Web Services (AWS), un database Postgres e persino il codice sorgente del software Mercedes-Benz.
Nonostante la gravità dell'incidente, sembra che non siano stati compromessi i dati dei clienti sui server interessati.
RedHunt ha comunicato immediatamente l'incidente a TechCrunch, che a sua volta ha informato Mercedes-Benz. Un portavoce dell'azienda ha confermato che il token API illimitato è stato revocato e il repository pubblico è stato rimosso tempestivamente.
Secondo il portavoce, il codice sorgente interno dell'azienda è stato rilasciato su un server GitHub pubblico a causa di un errore umano. Attualmente, è in corso un'indagine interna e saranno adottate ulteriori "misure correttive" per affrontare la situazione.
Fino a questo momento, non ci sono prove che dei malintenzionati abbiano scoperto e sfruttato il token per compromettere gli affari di Mercedes-Benz. Tuttavia, l'azienda non ha confermato se sia stata in grado di rilevare tentativi di accesso non autorizzato ai suoi sistemi tramite registri di accesso o altre misure di sicurezza.