Mercedes-Benz tenía una vulnerabilidad evidente en un repositorio de código abierto que exponía su código fuente, un tesoro de información valiosa y sensible, y ponía a la empresa en riesgo de recibir multas regulatorias. Queda por ver si alguien logró o no explotar la falla antes de que fuera encontrada y reparada.
Investigadores de ciberseguridad de Laboratorios RedHunt encontró un repositorio de GitHub perteneciente a un empleado de Mercedes a finales de septiembre de 2023.
Este repositorio contenía un token de GitHub que otorgaba acceso al servidor GitHub Enterprise interno de la empresa.
Error humano
«El token de GitHub dio acceso ‘sin restricciones’ y ‘no monitoreado’ a todo el código fuente alojado en el servidor interno de GitHub Enterprise», afirma el informe de RedHunt Labs. «El incidente dejó al descubierto repositorios confidenciales que albergan una gran cantidad de propiedad intelectual, y la información comprometida incluía cadenas de conexión de bases de datos, claves de acceso a la nube, planos, documentos de diseño, contraseñas SSO, claves API y otra información interna crítica».
Los investigadores sugieren que se trató de un percance importante que podría costarle muy caro a la empresa. Al aplicar ingeniería inversa al código fuente, otros fabricantes de automóviles pueden descubrir los secretos de la tecnología patentada. Los piratas informáticos pueden utilizar lo mismo para encontrar fallos, tanto en los vehículos como en la propia empresa, que, en consecuencia, podrían dar lugar a ciberataques como el ransomware.
Finalmente, si los repositorios contenían datos confidenciales de los clientes, los organismos de control de la protección de datos también tendrán su día de campo.
Sin embargo, en una declaración dada a pitidocomputadoraMercedes dice que ese no será el caso.
«Podemos confirmar que el código fuente que contiene un token de acceso interno se publicó en un repositorio público de GitHub por error humano», dijo la compañía. “Este token daba acceso a una cierta cantidad de repositorios, pero no a todo el código fuente alojado en el servidor interno de GitHub Enterprise. Revocamos el token respectivo y eliminamos el repositorio público de inmediato. Los datos de los clientes no se vieron afectados, como muestra nuestro análisis actual”.