網(wǎng)絡(luò)安全公司 RedHunt Labs 日前在例行互聯(lián)網(wǎng)掃描中發(fā)現(xiàn)知名公司梅賽德斯奔馳不慎泄露員工的梅賽密鑰身份驗證令牌，這導(dǎo)致該公司在 GitHub 企業(yè)版上托管的德斯代碼所有源代碼、存儲庫全部暴露在公網(wǎng)上。奔馳

根據(jù)分析梅賽德斯奔馳的不致整 GitHub Enterprise Server 上包含大量機密內(nèi)容：

• 整個源代碼
• 知識產(chǎn)權(quán)內(nèi)容
• 用來連接其他服務(wù)的字符串
• AWS/Azure 連接密鑰
• 設(shè)計藍圖
• 設(shè)計文檔
• SSO 密碼
• API 密鑰
• 其他關(guān)鍵信息

其中 AWS 和 Microsoft Azure 連接密鑰則可以用來登錄梅賽德斯奔馳在 AWS 和微軟托管的服務(wù)器，這又可能導(dǎo)致更多私密數(shù)據(jù)暴露。慎泄司源

開發(fā)者不慎在 GitHub 上暴露了令牌：

GitHub 允許開發(fā)者生成身份驗證令牌作為替代密碼的露私藍點驗證方案，梅賽德斯奔馳的鑰導(dǎo)員工不慎在一個公共 GitHub 中暴露了自己的令牌，這意味著任何人拿到這個令牌后都可以直接訪問梅賽德斯奔馳的全部 GitHub Enterprise Server 并下載所有數(shù)據(jù)。

RedHunt Labs 基于安全驗證目的泄露瀏覽了部分?jǐn)?shù)據(jù)，發(fā)現(xiàn)里面還包含 AWS 和 Azure 密鑰、梅賽密鑰Postgres 數(shù)據(jù)庫和梅賽德斯的德斯代碼其他源代碼等。

隨后該安全公司通過 TechCrunch 聯(lián)系梅賽德斯奔馳進行反饋，奔馳接到反饋后梅賽德斯奔馳立即確認(rèn)了問題并撤銷了令牌，不致整同時把暴露令牌的慎泄司源整個存儲庫都刪了。

是露私藍點否泄露數(shù)據(jù)目前還不清楚：

掃描顯示梅賽德斯奔馳員工是在 2023 年 9 月下旬不慎暴露自己的身份驗證令牌，也就是說到撤銷的時候已經(jīng)有幾個月，這幾個月難免會有其他黑客掃描到令牌進而竊取了所有數(shù)據(jù)。

遺憾的是梅賽德斯奔馳拒絕透露是否知道任何第三方訪問了暴露的數(shù)據(jù)，或者說沒人知道該公司有沒有能力檢查數(shù)據(jù)遭到異常訪問，這可能需要完整的排查過去幾個月的日志。