البوابة - كشفت شركة مرسيدس بنز عن طريق الخطأ عن مجموعة كبيرة من البيانات الداخلية بعد ترك مفتاح خاص عبر الإنترنت يمنح "وصولاً غير مقيد" إلى الكود المصدري للشركة، وفقًا لشركة الأبحاث الأمنية التي اكتشفته.
الشركة التي كشفت عن التسريب
وقد نبه شوبهام ميتال، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في RedHunt Labs، موقع TechCrunch إلى هذا التعرض وطلب المساعدة في الكشف عن الأمر لشركة صناعة السيارات، حيث قالت شركة الأمن السيبراني ومقرها لندن إنها اكتشفت الرمزالخاص بموظف مرسيدس في مستودع GitHub العام أثناء فحص روتيني للإنترنت في يناير.
وفقًا لشركة ميتال، فإن هذا الرمز المميز - وهو بديل لاستخدام كلمة المرورالخاصة على GitHub - ويمكن أن يمنح أي شخص حق الوصول الكامل إلى GitHub Enterprise Server من مرسيدس، مما يسمح للكشف عن البيانات الخاصة للشركة.
البيانات التي تم الكشف عنها
أوضحت ميتال في تقرير شاركته TechCrunch: "منح رمز GitHub وصولاً "غير مقيد" و"غير مراقب" إلى الكود المستضاف على خادم GitHub Enterprise Server الداخلي". "تتضمن المستودعات قدرًا كبيرًا من الملكية الفكرية... سلاسل الاتصال، ومفاتيح الوصول إلى السحابة، والمخططات، ومستندات التصميم، وكلمات المرور [الدخول الموحد]، ومفاتيح واجهة برمجة التطبيقات، والمعلومات الداخلية الهامة الأخرى."
وقدمت ميتال إلى TechCrunch أدلة على أن المستودعات المكشوفة تحتوي على مفاتيح Microsoft Azure وAmazon Web Services (AWS)، وقاعدة بيانات Postgres، وكود مصدر مرسيدس، من غير المعروف ما إذا كانت هناك أي بيانات للعملاء موجودة في المستودعات.
وكشفت TechCrunch عن المشكلة الأمنية لمرسيدس وخلال يومين من الكشف عن التسريب الذي حصل أكدت كاتيا ليسنفيلد، المتحدثة باسم مرسيدس، أن الشركة "ألغت رمز واجهة برمجة التطبيقات الخاص بها وأزالت المستودع العام على الفور".
وقال ليسنفيلد في بيان لموقع TechCrunch: "يمكننا أن نؤكد أن كود المصدر الداخلي تم نشره في مستودع GitHub العام عن طريق خطأ بشري". "يعد أمان مؤسستنا ومنتجاتنا وخدماتنا أحد أهم أولوياتنا."
ورفضت مرسيدس الإفصاح عما إذا كانت على علم بأي وصول لطرف ثالث إلى البيانات المكشوفة أو ما إذا كانت الشركة لديها القدرة الفنية، مثل سجلات الوصول، لتحديد ما إذا كان هناك أي وصول غير مناسب إلى مستودعات البيانات الخاصة بها.
