Een authentication token voor GitHub was per ongeluk door een medewerker publiek gedeeld. Met deze token was de gehele source code op Mercedes’ GitHub Enterprise Server in te zien.
RedHunt Labs vond de gelekte token tijdens een routine-scan in januari. CTO Shubham Mittal contacteerde TechCrunch om de bevindingen te delen. “De GitHub-token gaf ‘onbeperkte’ en ‘ongemonitorde’ toegang tot de gehele source code gehost op de interne GitHub Enterprise Server,” aldus Mittal.
De authentication token, bedoeld om een wachtwoord onnodig te maken voor een Mercedes-medewerker, verschafde nog meer toegang. Zo stelt Mittal dat er toegang was tot “connection strings, cloud access-keys, blauwdrukken, designdocumenten, SSO-wachtwoorden, API-keys en andere kritieke interne informatie”. Ook waren er keys voor Azure en AWS aanwezig, naast een Postgres-database en de source code van Mercedes-Benz.
Lang beschikbaar, niet bekend wie toegang had
Voor zover bekend heeft alleen RedHunt Labs de token gevonden, maar dat zou Mercedes-Benz niet gerust moeten stellen. De data was al eind september 2023 gepubliceerd, waardoor een kwaadwillende vier maanden de tijd had om het te vinden. Mercedes dichtte het lek kort nadat TechCrunch het bedrijf van het incident op de hoogte stelde. De autofabrikant wil niet bekend maken of het weet of andere partijen toegang verkregen via deze token.
Het lekken van de source code zelf hoeft niet catastrofaal te zijn. Hoofd van Google’s Threat Analysis Group vertelde Wired in 2022 dat het lekken van account- en gebruikerdata vooral beschermd dienen te zijn. “Dat iemand de source-code kan zien, betekent niet direct dat men het gelijk kan exploiteren.” Het gaat bij dit Mercedes-lek echter om nog meer gegevens, maar als enkel RedHunt Labs toegang had, is de schade beperkt gebleven.
Tip: Datalek EasyPark: wachtwoordhashes op straat
IP en open-source
Wel is IP-bescherming uiterst belangrijk, en dat geldt natuurlijk ook voor de auto-industrie. Gezien de ontwikkeling van connected cars is er veel meer software-innovatie in deze sector. Voorbeelden hiervan zijn het verbeteren van efficiëntie en zelfrijdende functies. Mercedes ontwikkelt zelf het MB.OS-besturingssysteem, dat het gebruikers zo eenvoudig mogelijk dient te maken om alle functies aan te spreken.
Nu stelde Mercedes eind vorig jaar wel een groot voorstander van open-source te zijn, waardoor het een grote aanwezigheid op GitHub heeft. Dat heeft klaarblijkelijk wel voor problemen gezorgd deze keer.
We namen vorig jaar een Techzine Talks-aflevering op over ‘connected cars’ en hoeveel ze in veel gevallen over hun bestuurders weten:
16 uur geleden
