Une erreur humaine déroutante met en danger la sécurité informatique du constructeur automobile allemand
Pourquoi est-ce important: Les chercheurs en sécurité parcourent régulièrement Internet à la recherche de serveurs non protégés ou de « secrets » révélés appartenant à des acteurs majeurs de l’industrie. Cependant, ce que RedHunt Labs a récemment découvert va bien au-delà d’un simple serveur non sécurisé hébergeant certaines données confidentielles.
La société de sécurité basée au Royaume-Uni RedHunt Labs a récemment découvert un jeton d’authentification appartenant à un employé de Mercedes-Benz. Le jeton était hébergé dans un référentiel public GitHub, comme l’a déclaré le co-fondateur de RedHunt, Shubham Mittal, et il aurait pu être exploité pour obtenir un « accès illimité » aux secrets commerciaux et autres informations d’authentification cruciales du géant allemand de l’automobile.
RedHunt a identifié le jeton d’authentification exposé lors d’une analyse de routine sur Internet en janvier, mais le jeton lui-même avait été publié en septembre 2023. En utilisant la clé privée, des acteurs malveillants ou des cybercriminels auraient pu obtenir un accès complet à un serveur GitHub Enterprise appartenant à Mercedes- Benz. Le volume et la sensibilité des données stockées sur le serveur mentionné étaient vraiment stupéfiants.
Le jeton GitHub fournissait un accès « illimité » et « non surveillé » à une grande quantité de fichiers de propriété intellectuelle de Mercedes-Benz, notamment des plans, des documents de conception et d’autres informations internes « critiques ». Mittal a souligné que le serveur hébergeait également des clés d’accès au cloud, des clés API et des mots de passe supplémentaires, qui auraient pu être exploités pour perturber l’ensemble de l’infrastructure informatique du constructeur automobile, créant ainsi une situation chaotique sans précédent.
Pire encore, Mittal a confirmé (avec preuves) que les référentiels non sécurisés exposaient les clés des serveurs Microsoft Azure et Amazon Web Services (AWS), une base de données Postgres et même le code source des logiciels Mercedes-Benz. Aucune donnée client n’était apparemment hébergée sur les serveurs concernés, selon le chercheur en sécurité.
RedHunt a partagé des détails sur l’incident de sécurité embarrassant avec TechCrunch, qui a ensuite révélé le problème à Mercedes-Benz. Un porte-parole de la société allemande a rapidement confirmé que le jeton API sans restriction avait été révoqué et que le référentiel public avait été supprimé « immédiatement ».
Le code source interne du constructeur automobile a été publié par inadvertance sur un serveur public GitHub en raison d’une erreur humaine, a indiqué le porte-parole. Une enquête interne est toujours en cours et des « mesures correctives » supplémentaires seront mises en œuvre en conséquence.
Le jeton non surveillé a été exposé au public pendant des mois, mais jusqu’à présent, il n’y a aucune preuve que des acteurs malveillants ou des cybercriminels aient pu découvrir et abuser du secret pour compromettre les activités de Mercedes-Benz. L’entreprise n’a pas confirmé si elle était en mesure de détecter les tentatives d’accès inconnues à ses systèmes via des journaux d’accès ou d’autres mesures de sécurité.
