奔驰源代码意外泄露，暴露内部敏感数据

近日，RedHunt 实验室的研究人员发现，梅赛德斯-奔驰无意中留下了可在线访问的私钥，暴露了内部数据，包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。

梅赛德斯-奔驰（Mercedes-Benz）是德国著名的汽车、公共汽车和卡车制造商，以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。

与许多现代汽车制造商一样，奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理，以及电力和电池管理（电动汽车）等软件工具。

2023 年 9 月 29 日，RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌，该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道：GitHub 令牌允许'不受限制'和'不受监控'地访问托管在内部 GitHub 企业服务器上的全部源代码。

该事件导致存放大量知识产权的敏感存储库数据泄露。其中，被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。

源代码泄露可能会导致竞争对手对专有技术进行逆向工程，黑客很可能通过这种方式发现汽车系统中的潜在漏洞。

此外，API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。

RedHunt 实验室还提到，如果被暴露的存储库中包含客户数据，则有可能触犯法律，比如违反 GDPR。不过，研究人员尚未验证被暴露文件的内容。

RedHunt 在 TechCrunch 的帮助下，于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件，并在两天后撤销了该令牌，阻止了所有持有和滥用令牌者的非法访问。

这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露，由于 GitHub 访问密钥被暴露，客户个人信息在长达五年的时间里仍可被公开访问。

只有当 GitHub 的所有者激活了审计日志，通常包括 IP 地址，才会产生恶意利用的实质性证据。

关于此次事件，梅赛德斯-奔驰公司的具体回复如下：

目前可以确认的是由于人为错误，奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。

并且该令牌允许外部人员访问一定数量的仓库，但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌，并立即删除了公共存储库，所以目前客户数据未受影响。- 梅赛德斯-奔驰

出于安全原因，梅赛德斯奔驰方面表示并不想分享该事件的技术细节，因此目前还不清楚他们是否检测到了未经授权的访问。此外，该公司还表示，他们愿意与全球研究人员合作，并通过漏洞披露计划接受安全报告。

参考来源：A mishandled GitHub token exposed Mercedes-Benz source code (bleepingcomputer.com)