Un desarrollador de Mercedes-Benz filtró accidentalmente una clave privada, lo que provocó que se filtrara todo el código fuente de la empresa y otras claves.

Las claves de conexión de AWS y Microsoft Azure se pueden utilizar para iniciar sesión en los servidores de Mercedes-Benz alojados por AWS y Microsoft, lo que puede provocar la exposición de más datos privados.

El desarrollador expuso accidentalmente un token en GitHub:

GitHub permite a los desarrolladores generar tokens de autenticación como alternativa a las contraseñas. Los empleados de Mercedes-Benz expusieron accidentalmente sus tokens en un GitHub público, lo que significa que cualquiera que obtenga el token puede acceder directamente al GitHub Enterprise Server de Mercedes-Benz y descargar todos los datos.

RedHuntLabs examinó algunos de los datos con fines de verificación de seguridad y descubrió que también contenía claves de AWS y Azure, bases de datos de Postgres y otros códigos fuente de Mercedes.

Luego, la empresa de seguridad se puso en contacto con Mercedes-Benz para solicitar comentarios a través de TechCrunch. Después de recibir los comentarios, Mercedes-Benz confirmó inmediatamente el problema y revocó el token, y al mismo tiempo eliminó todo el repositorio que exponía el token.

No está claro si los datos se filtraron:

Los escaneos muestran que los empleados de Mercedes-Benz expusieron accidentalmente sus tokens de autenticación a fines de septiembre de 2023, lo que significa que han pasado varios meses desde la revocación. En estos meses, otros piratas informáticos inevitablemente escanearán los tokens y robarán todos los datos.

Desafortunadamente, Mercedes-Benz se negó a decir si sabía que algún tercero tenía acceso a los datos expuestos, o si la compañía tenía la capacidad de verificar si había acceso inusual a los datos, lo que probablemente requeriría una revisión completa de los registros de los últimos meses.