Güvenlik araştırmacıları, korunmasız sunucuları veya büyük endüstri oyuncularına ait açığa çıkan "sırları" bulmak için düzenli olarak interneti tararlar. Ancak RedHunt Labs'ın yakın zamanda keşfettiği şey, bazı gizli verileri barındıran basit, güvenli olmayan bir sunucunun çok ötesine geçiyor.
İngiltere merkezli güvenlik şirketi RedHunt Labs, yakın zamanda bir Mercedes-Benz çalışanına ait bir kimlik doğrulama jetonu keşfetti. RedHunt kurucu ortağı Shubham Mittal'in belirttiği gibi token, halka açık bir GitHub deposunda barındırılıyordu ve Alman otomotiv devinin ticari sırlarına ve diğer önemli kimlik doğrulama bilgilerine "sınırsız erişim" elde etmek için istismar edilmiş olabilir.
RedHunt, açığa çıkan kimlik doğrulama jetonunu Ocak ayında rutin bir internet taraması sırasında tespit etti ancak jetonun kendisi Eylül 2023'te yayınlanmıştı. Kötü niyetli aktörler veya siber suçlular, özel anahtarı kullanarak Mercedes'e ait bir GitHub Enterprise Server'a tam erişim elde edebilirdi. Benz. Söz konusu sunucuda depolanan verilerin hacmi ve hassasiyeti gerçekten şaşırtıcıydı.
GitHub tokeni, planlar, tasarım belgeleri ve diğer "kritik" dahili bilgiler dahil olmak üzere çok sayıda Mercedes-Benz fikri mülkiyet dosyasına "sınırsız" ve "izlenmeden" erişim sağladı. Mittal, sunucunun aynı zamanda bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri de barındırdığını, bunların otomobil üreticisinin tüm BT altyapısını bozacak şekilde istismar edilebileceğini ve benzeri görülmemiş ve kaotik bir durum yaratabileceğini vurguladı.
Daha da kötüsü, Mittal, güvenli olmayan depoların Microsoft Azure ve Amazon Web Hizmetleri (AWS) sunucularının anahtarlarını, Postgres veritabanını ve hatta Mercedes-Benz yazılımının kaynak kodunu açığa çıkardığını (kanıtlarla) doğruladı. Güvenlik araştırmacısına göre, etkilenen sunucularda hiçbir müşteri verisinin barındırılmadığı görülüyor.
RedHunt, utanç verici güvenlik olayının ayrıntılarını TechCrunch ile paylaştı ve daha sonra sorun Mercedes-Benz'e açıklandı. Alman şirketin bir sözcüsü kısa süre sonra sınırsız API tokeninin iptal edildiğini ve halka açık veri deposunun "hemen" kaldırıldığını doğruladı.
Sözcü, otomobil üreticisinin dahili kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını söyledi. Bir iç soruşturma halen devam etmektedir ve buna göre ek "iyileştirici önlemler" uygulanacaktır.
Denetlenmeyen token aylarca kamu erişimine açık tutuldu, ancak şu ana kadar kötü niyetli aktörlerin veya siber suçluların Mercedes-Benz'in işini tehlikeye atacak sırrı keşfedip kötüye kullanabildiklerine dair bir kanıt yok. Şirket, erişim kayıtları veya diğer güvenlik önlemleri aracılığıyla sistemlerine yönelik bilinmeyen erişim girişimlerini tespit edip edemediğini doğrulamadı.
Kaynak:
https://www.techspot.com/news/101707-me ... crets.html
