Des chercheurs ont dcouvert que Mercedes-Benz avait accidentellement laiss une cl prive en ligne, exposant ainsi des donnes internes Y compris le code source de l’entreprise

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Mercedes-Benz a accidentellement expos des donnes sensibles, y compris son code source. Des chercheurs de RedHunt Labs ont dcouvert que Mercedes-Benz avait accidentellement laiss une cl prive accessible en ligne, exposant ainsi des donnes internes, y compris le code source de l’entreprise. On ne sait pas si la fuite de donnes a expos les donnes des clients,

RedHunt Labs a fait part de ses conclusions TechCrunch et, avec l’aide du mdia, a averti le constructeur automobile. La socit de scurit a dcouvert qu’un jeton d’authentification appartenant un employ de Mercedes avait t laiss expos dans un dpt GitHub public. La dcouverte a t faite au cours d’une analyse Internet de routine en janvier.

Le jeton divulgu pouvait potentiellement fournir un accs illimit au serveur d’entreprise GitHub de Mercedes, permettant quiconque de rcuprer les rfrentiels de code source privs de l’entreprise.

« Le jeton GitHub donnait un accs illimit et non surveill l’ensemble du code source hberg sur le serveur interne GitHub Enterprise Server« , a dclar Shubham Mittal, cofondateur et directeur de la technologie de RedHunt Labs, TechCrunch. « Les rfrentiels comprennent une grande quantit de proprit intellectuelle… des chanes de connexion, des cls d’accs au cloud, des plans, des documents de conception, des mots de passe [d’authentification unique], des cls d’API et d’autres informations internes essentielles.« 

Mittal a prsent TechCrunch des preuves attestant de l’existence d’identifiants Microsoft Azure et Amazon Web Services (AWS), d’une base de donnes Postgres et du code source de Mercedes dans la base de donnes.

Lorsque Mercedes a eu connaissance de la fuite de donnes, elle a rvoqu le jeton expos et supprim le rfrentiel public. Aprs que TechCrunch a rvl le problme de scurit Mercedes, Katja Liesenfeld, porte-parole de Mercedes, a confirm que la socit avait « rvoqu le jeton API correspondant et supprim immdiatement le rfrentiel public« .

« Nous pouvons confirmer qu’un code source interne a t publi sur un dpt GitHub public par erreur humaine« , a dclar Katja Liesenfeld, porte-parole de Mercedes, TechCrunch. « La scurit de notre organisation, de nos produits et de nos services est l’une de nos principales priorits. » « Nous allons continuer analyser ce cas conformment nos processus habituels. En fonction de cela, nous mettrons en uvre des mesures correctives.« 

L’enqute sur la violation a rvl que le jeton tait expos en ligne depuis fin septembre 2023. Toutefois, il n’est pas certain que d’autres acteurs aient obtenu un accs non autoris aux donnes du constructeur automobile.

« Mercedes a refus de dire si elle tait au courant de l’accs d’un tiers aux donnes exposes ou si l’entreprise avait la capacit technique, comme les journaux d’accs, de dterminer s’il y avait eu un accs inappropri ses rfrentiels de donnes. Le porte-parole a invoqu des raisons de scurit non prcises« , conclut TechCrunch.

Sources : RedHunt Labs, TechCrunch

Et vous ?

Quel est votre avis sur cette affaire ?

Voir aussi :

Des millions de dossiers .git exposs publiquement par erreur, une nouvelle tude le montre

Toyota a accidentellement expos une cl secrte publiquement sur GitHub pendant cinq ans, provoquant une fuite de donnes et donnant notamment accs aux donnes de plus de 290 000 clients

Le code source reprsente la catgorie de donnes sensibles la plus couramment partage sur ChatGPT. Des donnes sensibles sont partages avec des applications d’IA gnrative chaque heure



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.