Un développeur de Mercedes-Benz a accidentellement divulgué une clé privée, provoquant la fuite de l'intégralité du code source de l'entreprise et d'autres clés.

Les clés de connexion AWS et Microsoft Azure peuvent être utilisées pour se connecter aux serveurs Mercedes-Benz hébergés par AWS et Microsoft, ce qui peut entraîner l'exposition de données davantage privées.

Le développeur a accidentellement exposé le jeton sur GitHub :

GitHub permet aux développeurs de générer des jetons d'authentification comme alternative aux mots de passe. Les employés de Mercedes-Benz ont accidentellement exposé leurs jetons dans un GitHub public, ce qui signifie que toute personne qui obtient le jeton peut accéder directement au serveur GitHub Enterprise de Mercedes-Benz et télécharger toutes les données.

RedHuntLabs a parcouru certaines données à des fins de vérification de sécurité et a découvert qu'elles contenaient également des clés AWS et Azure, des bases de données Postgres et d'autres codes sources Mercedes.

La société de sécurité a ensuite contacté Mercedes-Benz pour obtenir des commentaires via TechCrunch. Après avoir reçu les commentaires, Mercedes-Benz a immédiatement confirmé le problème et révoqué le jeton, tout en supprimant l'intégralité du référentiel qui exposait le jeton.

On ne sait pas si les données ont été divulguées :

Les analyses montrent que les employés de Mercedes-Benz ont accidentellement exposé leurs jetons d'authentification fin septembre 2023, ce qui signifie que plusieurs mois se sont écoulés depuis la révocation. Au cours de ces mois, d’autres pirates scanneront inévitablement les jetons et voleront toutes les données.

Malheureusement, Mercedes-Benz a refusé de dire si elle savait qu'un tiers avait accès aux données exposées, ou si l'entreprise avait la possibilité de vérifier tout accès inhabituel aux données, ce qui nécessiterait probablement un examen complet des journaux des derniers mois.