Mercedes-Benz heeft per ongeluk interne gegevens gelekt doordat een privésleutel online is achtergelaten. Deze fout maakte “onbeperkte toegang” tot de broncode van het bedrijf mogelijk.
Het Londense cybersecuritybedrijf RedHunt Labs ontdekte per toeval een authenticatietoken van een Mercedes-medewerker in een openbare GitHub-opslagplaats. Dit token gaf volledige toegang tot Mercedes’s GitHub Enterprise Server en dus tot de download van de privé-broncode.
De repositories bevatten een schat aan intellectueel eigendom, waaronder verbindingsreeksen, cloudtoegangssleutels, blauwdrukken, ontwerpdocumenten, wachtwoorden voor ‘single sign-on’, API-sleutels en andere kritieke interne informatie.
Na melding van het beveiligingsprobleem heeft Mercedes het betreffende API-token ingetrokken en de openbare opslagplaats onmiddellijk verwijderd.
Het autobedrijf bevestigt dat het om een menselijke fout gaat en benadrukt de prioriteit van beveiliging.
Mercedes meldt niet of er sprake is geweest van ongeoorloofde toegang tot de gegevens, en dit blijft om ongespecificeerde veiligheidsredenen onbeantwoord.
Lees het techcrunch artikel voor meer informatie.
