Haber
Mercedes-Benz, Kaynak Kodunu ve Ticari Sırlarını Yanlışlıkla Tüm Dünyayla Paylaştı
Haberlerde takip et! >Google Haberler
RedHunt Labs adlı İngiltere merkezli güvenlik şirketi, yaptığı tarama sırasında Mercedes-Benz’e ait kaynak kodunu ve ticari sırları içeren bir GitHub deposunu keşfetti.
Mercedes-Benz, Kaynak Kodunu ve Ticari Sırlarını Yanlışlıkla Tüm Dünyayla Paylaştı
Güvenlik araştırmacıları, düzenli olarak interneti tarayarak büyük endüstri oyuncularına ait korunmasız sunucuları veya açıkta kalan “sırları” bulmaya çalışıyor. RedHunt Labs adlı İngiltere merkezli güvenlik şirketi, yaptığı tarama sırasında Mercedes-Benz’e ait kaynak kodunu ve ticari sırları içeren bir GitHub deposunu keşfetti.
RedHunt Labs’ın kurucu ortağı Shubham Mittal’a göre, GitHub’da bulunan kimlik doğrulama belirteci, Alman otomotiv devinin ticari sırlarına ve önemli kimlik doğrulama bilgilerine “sınırsız erişim” sağlamak için kullanılmış olabilir. RedHunt, belirteci Ocak ayında rutin bir internet taraması sırasında keşfetmiş olsa da belirtecin kendisi Eylül 2023’te yayınlanmıştı. Kötü niyetli kişiler veya siber suçlular, özel anahtarı kullanarak Mercedes-Benz’e ait bir GitHub Kurumsal Sunucusuna tam erişim elde etmiş olabilir.
Olayla ilgili olarak, söz konusu sunucuda depolanan verilerin hacmi ve hassasiyetinin oldukça şaşırtıcı olduğu belirtiliyor. GitHub belirteci, büyük miktarda Mercedes-Benz fikri mülkiyet dosyasına, planlara, tasarım belgelerine ve diğer “kritik” dahili bilgilere sınırsız ve izlenmeyen erişim sağlıyordu. RedHunt Labs, sunucunun aynı zamanda bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri barındırdığını ve bunların otomobil üreticisinin tüm BT altyapısını bozmak için kullanılabileceğini vurguladı.
Daha da kötüsü, RedHunt Labs, güvensiz depoların Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veritabanını ve hatta Mercedes-Benz yazılımının kaynak kodunu ifşa ettiğini doğruladı. Ancak, etkilenen sunucularda müşteri verisinin bulunmaması, olayın tek olumlu yanı olarak belirtildi.
Hyundai Tucson vs Peugeot 3008 Karşılaştırması için tıklayın.
Mercedes-Benz şirketinden bir sözcü, sınırsız API belirtecinin kısa süre içinde iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü, otomobil üreticisinin dahili kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını belirtti. Şu ana kadar kötü niyetli aktörlerin veya siber suçluların Mercedes-Benz’in işini tehlikeye atmak için bu sırrı keşfedip kötüye kullanabildiklerine dair bir kanıt bulunmamaktadır.
Kaynak: techspot.com
Mercedes-Benz, Kaynak Kodunu ve Ticari Sırlarını Yanlışlıkla Tüm Dünyayla Paylaştı Yorumlar