Phát hiện lỗ hổng bảo mật: Mercedes-Benz bị đe dọa bởi mã thông báo xác thực công khai
Các nhà nghiên cứu bảo mật thường quét internet để tìm kiếm các máy chủ không được bảo vệ hoặc các "bí mật" bị tiết lộ của các công ty lớn. Tuy nhiên, những gì RedHunt Labs vừa phát hiện vượt xa một máy chủ không bảo mật đơn giản chỉ chứa một số dữ liệu nhạy cảm.
Công ty bảo mật RedHunt Labs đặt tại Vương quốc Anh vừa phát hiện một mã thông báo xác thực thuộc về một nhân viên của Mercedes-Benz. Mã thông báo này được lưu trữ trên một kho lưu trữ công khai trên GitHub, như RedHunt co-founder Shubham Mittal đã nêu, và nó có thể đã được khai thác để có "quyền truy cập không giới hạn" vào bí mật kinh doanh và các thông tin xác thực quan trọng khác của tập đoàn ô tô Đức.
RedHunt đã xác định mã thông báo xác thực bị lộ trong quá trình quét internet định kỳ vào tháng 1, nhưng mã thông báo này đã được công bố từ tháng 9 năm 2023. Bằng cách sử dụng khóa riêng tư, các kẻ tấn công hoặc tội phạm mạng có thể có quyền truy cập đầy đủ vào một máy chủ GitHub Enterprise thuộc sở hữu của Mercedes-Benz. Số lượng và độ nhạy cảm của dữ liệu được lưu trữ trên máy chủ đã được đề cập thực sự là rất đáng kinh ngạc.
Mã thông báo trên GitHub cung cấp quyền truy cập "không giới hạn" và "không được giám sát" vào một lượng lớn tệp về sở hữu trí tuệ của Mercedes-Benz, bao gồm các bản thiết kế, tài liệu thiết kế và các thông tin nội bộ "quan trọng". Mittal nhấn mạnh rằng máy chủ cũng lưu trữ các khóa truy cập đám mây, khóa API và mật khẩu bổ sung, có thể đã được khai thác để làm gián đoạn hạ tầng công nghệ thông tin của hãng ô tô này, tạo ra một tình huống chưa từng có và hỗn loạn.
Tệ hơn nữa, Mittal đã xác nhận (kèm theo bằng chứng) rằng các kho lưu trữ không an toàn đã tiết lộ các khóa cho các máy chủ Microsoft Azure và Amazon Web Services (AWS), một cơ sở dữ liệu Postgres và thậm chí mã nguồn cho phần mềm của Mercedes-Benz. Không có dữ liệu khách hàng nào được lưu trữ trên các máy chủ bị ảnh hưởng, theo nhà nghiên cứu bảo mật.
RedHunt đã chia sẻ chi tiết về sự cố bảo mật đáng xấu hổ này với TechCrunch, sau đó TechCrunch đã tiết lộ vấn đề này cho Mercedes-Benz. Một người phát ngôn của công ty Đức đã xác nhận rằng mã thông báo API không bị giới hạn đã bị thu hồi và kho lưu trữ công khai đã bị "loại bỏ ngay lập tức".
Người phát ngôn cho biết mã nguồn nội bộ của hãng ô tô đã được công bố vô tình trên một máy chủ GitHub công khai do lỗi của con người. Một cuộc điều tra nội bộ đang tiếp tục diễn ra và các "biện pháp khắc phục" bổ sung sẽ được triển khai tương ứng.
Mã thông báo không được giám sát đã được tiếp cận công khai trong nhiều tháng, nhưng cho đến nay, chưa có bằng chứng cho thấy các kẻ tấn công hoặc tội phạm mạng đã tìm ra và lợi dụng mã để tấn công vào hoạt động kinh doanh của Mercedes-Benz. Công ty không xác nhận liệu có phát hiện được các cuộc tấn công không rõ nguồn gốc vào hệ thống của mình thông qua nhật ký truy cập hoặc các biện pháp bảo mật khác.