Kuriozalny błąd pracownika dał dostęp do tajnych dokumentów Mercedes-Benz praktycznie każdemu chętnemu

Brytyjska firma, specjalizująca się w ochronie w sieci, RedHunt Labs, zgłosiła, że jeden z pracowników firmy Mercedes-Benz umieścił w publicznym repozytorium GitHuba swój token autoryzacyjny. Wspomniany klucz pozwalał na nieograniczony i niemonitorowany dostęp do wielu utajnionych materiałów korporacji. Mercedes-Benz ogłosił, że token został już usunięty i prowadzone jest śledztwo w sprawie, ale sytuacja była groźna (vide TechSpot).

Mercedes-Benz był zagrożony niebezpiecznym wyciekiem danych

Klucz autoryzacyjny anonimowego pracownika zezwalał na bardzo szeroki dostęp. Osoba postronna mogła wejrzeć na serwery Mercedes-Benz, gdzie znajdowały się między innymi dokumenty chronione prawem autorskim, w których skład wchodziły plany projektowe, schematy oraz inne ważne dane. Serwer zawierał także klucze dostępowe do chmury firmy, inne klucze API oraz wiele haseł, dzięki którym teoretycznie każdy mógł mieć praktycznie nieograniczony dostęp do infrastruktury sieciowej firmy.

Współzałożyciel RedHunt Labs, Shubham Mittal, stwierdził, że ma dowody potwierdzające, iż ujawnione zostały także klucze dostępowe do Microsoft Azure, Amazon Web Services, a nawet kod źródłowy narażonej korporacji. Sytuacja ta trwała przez kilka miesięcy, ponieważ wyciek tokena został zauważony w styczniu 2024 roku, a udostępnienie miało miejsce jeszcze we wrześniu 2023 roku.

Powiązane:Nowa umowa OpenAI na 10 gigawatów pokazuje, jak kosztowna energetycznie jest sztuczna inteligencja

Mercedes-Benz jest w trakcie wewnętrznego śledztwa oraz wprowadzania nowych metod, które zapobiegną podobnym wypadkom w przyszłości. Według posiadanych przez RedHunt Labs informacji, nikt przez te kilka miesięcy nie skorzystał z możliwości otrzymania nieograniczonego dostępu do wrażliwych danych motoryzacyjnego giganta.

Więcej:Tryb AI od Google jest już w Polsce

• Internet
• tech
• kradzieże i wycieki danych