Mercedes-Benz expuso accidentalmente una gran cantidad de datos internos después de dejar una clave privada en línea que daba “acceso irrestricto” al código fuente de la compañía, según la firma de investigación de seguridad que lo descubrió.
Shubham Mittal, cofundador y director de tecnología de RedHunt Labs, alertó a TechCrunch sobre la exposición y pidió ayuda para informarle al fabricante de automóviles. La compañía de ciberseguridad con sede en Londres dijo que descubrió el token de autenticación de un empleado de Mercedes en un repositorio público de GitHub durante un escaneo de rutina de Internet en enero.
Según Mittal, este token, una alternativa al uso de una contraseña para autenticarse en GitHub, podría otorgar a cualquier persona acceso completo al GitHub Enterprise Server de Mercedes, permitiendo así la descarga de los repositorios privados de código fuente de la compañía.
«El token de GitHub dio acceso ‘sin restricciones’ y ‘no monitoreado’ a todo el código fuente alojado en el servidor interno de GitHub Enterprise», explicó Mittal en un informe compartido por TechCrunch. “Los repositorios incluyen una gran cantidad de propiedad intelectual… cadenas de conexión, claves de acceso a la nube, planos, documentos de diseño, [single sign-on] contraseñas, claves API y otra información interna crítica”.
Mittal proporcionó a TechCrunch evidencia de que los repositorios expuestos contenían claves de Microsoft Azure y Amazon Web Services (AWS), una base de datos Postgres y código fuente de Mercedes. No se sabe si los repositorios contenían datos de clientes.
TechCrunch reveló el problema de seguridad a Mercedes el lunes. El miércoles, la portavoz de Mercedes, Katja Liesenfeld, confirmó que la empresa «revocó el token API respectivo y eliminó el repositorio público inmediatamente».
«Podemos confirmar que el código fuente interno fue publicado en un repositorio público de GitHub por error humano», dijo Liesenfeld en un comunicado a TechCrunch. «La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades».
“Continuaremos analizando este caso de acuerdo con nuestros procesos normales. Dependiendo de esto, implementamos medidas correctivas”, añadió Liesenfeld.
No se sabe si alguien más además de Mittal descubrió la clave expuesta, que se publicó a finales de septiembre de 2023.
Mercedes se negó a decir si tiene conocimiento de algún acceso de terceros a los datos expuestos o si la empresa tiene la capacidad técnica, como registros de acceso, para determinar si hubo algún acceso inadecuado a sus repositorios de datos. El portavoz citó razones de seguridad no especificadas.
La semana pasada,TechCrunch informó exclusivamente que la filial india de Hyundai solucionó un error que expuso la información personal de sus clientes, incluidos los nombres, direcciones postales, direcciones de correo electrónico y números de teléfono de los clientes de Hyundai Motor India, cuyos vehículos fueron reparados en estaciones propiedad de Hyundai en toda la India.