Η κακή διαχείριση ενός GitHub token επέτρεψε μη εξουσιοδοτημένη πρόσβαση στο εσωτερικό GitHub Enterprise Service της Mercedes-Benz, εκθέτοντας source code της εταιρείας.
Η Mercedes-Benz, μια από τις πιο γνωστές αυτοκινητοβιομηχανίες, χρησιμοποιεί λογισμικό στα οχήματα και τις υπηρεσίες της, συμπεριλαμβανομένων συστημάτων ασφάλειας και ελέγχου, infotainment, αυτόνομης οδήγησης και άλλων.
Στις 29 Σεπτεμβρίου 2023, ερευνητές της RedHunt Labs ανακάλυψαν ένα GitHub token σε ένα δημόσιο repository. Ανήκε σε έναν υπάλληλο της Mercedez και ήταν διαθέσιμο στο κοινό, που σημαίνει ότι οποιοσδήποτε θα μπορούσε να έχει πρόσβαση στον εσωτερικό GitHub Enterprise Server της εταιρείας.
Δείτε επίσης: ChatGPT: Διαρρέει κωδικούς πρόσβασης από ιδιωτικές συνομιλίες
“Το GitHub token έδινε «απεριόριστη» και «χωρίς παρακολούθηση» πρόσβαση σε ολόκληρο τον source code που φιλοξενείται στον Internal GitHub Enterprise Server“, αναφέρουν οι ερευνητές.
Όλο αυτό οδήγησε σε έκθεση σημαντικών repositories με πληθώρα πνευματικών δικαιωμάτων της Mercedes-Benz της, ενώ οι παραβιασμένες πληροφορίες περιελάμβαναν κλειδιά πρόσβασης στο cloud, blueprints, έγγραφα σχεδιασμού, κωδικούς πρόσβασης SSO, κλειδιά API και άλλα σημαντικά στοιχεία.
Η δημόσια έκθεση τέτοιων δεδομένων αποτελεί σοβαρό κίνδυνο για την Mercedes-Benz.
Οι διαρροές source code μπορεί να επιτρέψουν σε ανταγωνιστές να αποκτήσουν πληροφορίες για την τεχνολογία της εταιρείας και να την αξιοποιήσουν προς όφελός τους. Παράλληλα , οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να αναλύσουν τον κώδικα για να βρουν ευπάθειες που θα μπορούσαν να εκμεταλλευτούν στα συστήματα οχημάτων.
Επίσης, η έκθεση των κλειδιών API θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, διακοπή υπηρεσιών και κατάχρηση της υποδομής της αυτοκινητοβιομηχανίας.
Αν τα εκτεθειμένα repositories περιείχαν και δεδομένα πελατών, τότε θα μπορούσαν να υπάρχουν και νομικές συνέπειες για την εταιρεία, αφού θα υπήρχε και παραβίαση απορρήτου.
Η RedHunt, με τη βοήθεια του TechCrunch, ενημέρωσε τη Mercedes-Benz για τη διαρροή του token στις 22 Ιανουαρίου 2024. Δυο μέρες μετά η πρόσβαση είχε αποκλειστεί.
Δείτε επίσης: Ειδοποιήσεις του iPhone διαρρέουν προσωπικά δεδομένα των χρηστών
Το BleepingComputer επικοινώνησε με τη Mercedes-Benz για το ενδεχόμενο μη εξουσιοδοτημένης πρόσβασης στον διακομιστή GitHub. Η απάντηση ήταν η εξής:
“Μπορούμε να επιβεβαιώσουμε ότι ο πηγαίος κώδικας δημοσιεύτηκε σε δημόσιο GitHub repository από ανθρώπινο λάθος. Το token έδωσε πρόσβαση σε έναν συγκεκριμένο αριθμό repositories, αλλά όχι σε ολόκληρο τον source code που φιλοξενείται στον Internal GitHub Enterprise Server. Έχουμε ανακαλέσει το σχετικό token και αφαιρέσαμε αμέσως το δημόσιο repository. Τα δεδομένα πελατών δεν επηρεάστηκαν όπως δείχνει η τρέχουσα ανάλυσή μας. Θα συνεχίσουμε να αναλύουμε αυτήν την υπόθεση σύμφωνα με τις συνήθεις διαδικασίες μας“, Mercedes-Benz.
Ποιες είναι οι ενέργειες προστασίας για μελλοντικές παρόμοιες περιπτώσεις;
Πρώτον, είναι απαραίτητο να ενισχυθούν οι πρακτικές διαχείρισης των GitHub tokens. Αυτό μπορεί να περιλαμβάνει την εφαρμογή αυστηρότερων πολιτικών για την αποθήκευση και την ανανέωση των tokens, καθώς και την εκπαίδευση των υπαλλήλων για τους κινδύνους που συνεπάγεται η απρόσεκτη διαχείρισή τους.
Δεύτερον, η χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) μπορεί να προσφέρει ένα επιπλέον επίπεδο ασφάλειας. Το MFA απαιτεί από τους χρήστες να παρέχουν δύο ή περισσότερες μεθόδους επαλήθευσης για να αποδείξουν την ταυτότητά τους, πράγμα που μπορεί να δυσκολέψει την πρόσβαση από ανεπιθύμητους χρήστες.
Δείτε επίσης: Medusa Ransomware: Από διαρροές δεδομένων σε πολλαπλό εκβιασμό
Τρίτον, η εφαρμογή πρακτικών ασφάλειας λογισμικού, όπως η συνεχής σάρωση κώδικα για ευπάθειες και η χρήση εργαλείων αυτόματης ανίχνευσης ευπαθειών, μπορεί να βοηθήσει στην αποφυγή παρόμοιων περιστατικών στο μέλλον.
Τέλος, η δημιουργία ενός σχεδίου αντίδρασης σε περιπτώσεις παραβίασης μπορεί να είναι ζωτικής σημασίας. Αυτό το σχέδιο θα πρέπει να περιλαμβάνει διαδικασίες για την ανίχνευση, την αντίδραση και την αποκατάσταση από μια παραβίαση, ενώ θα πρέπει επίσης να προβλέπει την επικοινωνία με τους ενδιαφερόμενους.
Πηγή: www.bleepingcomputer.com
