كشفت مرسيدس-بنز عن طريق الخطأ عن مجموعة كبيرة من البيانات الداخلية بعد ترك مفتاح خاص عبر الإنترنت يمنح “وصولاً غير مقيد” إلى الكود المصدري للشركة، وفقًا لشركة الأبحاث الأمنية التي اكتشفته.
وقد نبه شوبهام ميتال، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في RedHunt Labs، موقع TechCrunch إلى هذا الأمر وطلب المساعدة في الكشف عن الأمر لشركة صناعة السيارات.
وقالت شركة الأمن السيبراني ومقرها لندن إنها اكتشفت رمز المصادقة الخاص بموظف مرسيدس في مستودع GitHub العام أثناء فحص روتيني للإنترنت في يناير.
وفقًا لميتال، هذا الرمز المميز – وهو بديل لاستخدام كلمة مرور للمصادقة على GitHub – يمكن أن يمنح أي شخص حق الوصول الكامل إلى GitHub Enterprise Server من مرسيدس، مما يسمح بتنزيل مستودعات كود المصدر الخاصة بالشركة.
أوضح ميتال في تقرير شاركته TechCrunch منح رمز GitHub وصولاً “غير مقيد” و”غير مراقب” إلى كود المصدر بالكامل المستضاف على خادم GitHub Enterprise Server الداخلي.
وتتضمن المستودعات قدرًا كبيرًا من الملكية الفكرية، سلاسل الاتصال، ومفاتيح الوصول السحابة، والمخططات، ومستندات التصميم، وكلمات المرور، ومفاتيح واجهة برمجة التطبيقات، وغيرها من المعلومات الداخلية الهامة.
قدم ميتال إلى TechCrunch أدلة على أن المستودعات المكشوفة تحتوي على مفاتيح Microsoft Azure وAmazon Web Services، وقاعدة بيانات Postgres، وكود مصدر مرسيدس.
وبعد أن كشفت TechCrunch عن المشكلة الأمنية لمرسيدس، أكدت كاتيا ليسنفيلد، المتحدثة باسم مرسيدس، بعد يومين أن الشركة ألغت رمز واجهة برمجة التطبيقات الخاص بها وأزالت المستودع العام على الفور.
وقالت ليسنفيلد في بيان مرسل لـ TechCrunch يمكننا أن نؤكد أن كود المصدر الداخلي تم نشره في مستودع GitHub العام عن طريق خطأ بشري، يعد أمان مؤسستنا ومنتجاتنا وخدماتنا أحد أهم أولوياتنا. وتابعت: “سنواصل تحليل هذه الحالة وفقًا لعملياتنا”.
ورفضت مرسيدس الكشف عن إذا كانت على علم بوصول أي معلومات لطرف ثالث.
