Mercedes'ten akıl almaz hata! Yanlışlıkla tüm bilgileri ifşa etti
RedhuntLabs adlı güvenlik şirketi, Mercedes-Benz'e ait gizli bilgilerin bulunduğu bir GitHub deposunu keşfetti. Söz konusu depoda, şirketin ticari sırlarının, kaynak kodlarının ve diğer kritik bilgilerin siber suçluların eline geçmiş olabileceği ortaya çıktı.
Güvenlik araştırmacıları, korumasız sunucuları veya büyük şirketlerin açığa çıkan "sırlarını" bulmak için düzenli olarak interneti tarıyor. Birleşik Krallık merkezli güvenlik şirketi RedhuntLabs'ın yaptığı son taramalardan bir tanesinde Mercedes'e ait gizli bilgileri içeren bir GitHub deposu keşfettiği bildirildi.
TechSpot sitesinin haberine göre, bir Mercedes-Benz çalışanına ait olduğu belirtilen kimlik doğrulama belirteci halka açık bir GitHub deposunda barındırılıyordu. Bu deponun, Alman otomotiv devinin ticari sırlarından kaynak kodlarına kadar bütün önemli bilgilerine "sınırsız erişim" sağlamış olabileceğinden şüpheleniliyor.
YAYINLANAN BİLGİLER, SİBER SUÇLULARIN ELİNE GEÇMİŞ OLABİLİR
RedHunt'un açığa çıkan kimlik doğrulama belirtecini ilk olarak ocak ayında rutin bir internet taraması sırasında tespit ettiği, ancak belirtecin Eylül 2023'te yayınlandığı belirlendi. İddiaya göre siber suçlular, özel anahtarı kullanarak Mercedes'in sahip olduğu GitHub kurumsal sunucusuna erişebiliyorlardı.
GitHub deposunun, Mercedes'e ait planlar, belgeler ve diğer "kritik" dahili bilgiler başta olmak üzere çok sayıda fikri mülkiyet dosyasına "sınırsız" ve "izlenmeden" erişim sağladığı da gelen bilgiler arasında yer alıyor.
RedHunt'un kurucu ortağı Shubham Mittal, sunucunun bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri de barındırdığını, bunların otomobil üreticisinin tüm BT altyapısını bozacak şekilde istismar edilebileceğini ve benzeri görülmemiş ve kaotik bir duruma yol açabileceğini de vurguladı.
Mittel, güvenli olmayan depoların Microsoft Azure ve Amazon Web Hizmetleri (AWS) sunucularının anahtarlarını, Postgres veritabanını ve hatta Mercedes'in yazılımının kaynak kodunu açığa çıkardığını öne sürdü. Ancak, söz konusu sunucularda müşterilere ait verilerin bulunmadığını da ekledi.
MERCEDES, TOPU BAŞKASINA ATTI
Yaşanan bu gelişmelerin ardından, Alman şirketin bir sözcüsü kısa süre sonra sınırsız API tokeninin iptal edildiğini ve halka açık veri deposunun derhal kaldırıldığı bilgisini paylaştı. Sözcü, şirketin dahili kaynak kodlarının "insan hatası" nedeniyle yanlışlıkla halka açık bir GitHub yayınlandığını söyledi.
