Mercedes-Benz: Quellcode war durch Token-Leak für jedermann abrufbar
Ein Mitarbeiter von Mercedes-Benz hatte wohl in einem öffentlichen GitHub-Repository ein mit weitreichenden Zugriffsrechten ausgestattetes Authentifizierungstoken hochgeladen. Damit hätte im Grunde jeder auf den Quellcode und weitere sensible Daten des Automobilkonzerns zugreifen können, behaupten Forscher von RedHunt Labs.
Forscher entdecken sensibles Authentifizierungstoken
Zuerst über den Vorfall berichtet hatte gestern TechCrunch. Shubham Mittal, Mitbegründer und Chief Technology Officer von RedHunt Labs, habe TechCrunch um Hilfe bei der Offenlegung des Token-Leaks gegenüber Mercedes-Benz gebeten, heißt es in dem Bericht. Auch RedHunt Labs selbst hat den Fund in einem X-Beitrag bestätigt. „Die Entdeckung dieses Vorfalls glich der Suche nach einer Nadel im Heuhaufen“, heißt es dort. Dennoch hätten die Forscher die potenzielle Sicherheitsverletzung erfolgreich identifizieren und melden können.
Entdeckt wurde das Authentifizierungstoken im aktuellen Monat bei einem routinemäßigen Internet-Scan, den die Sicherheitsforscher durchgeführt hatten. In dem öffentlichen Repository aufgetaucht ist das Token aber wohl schon im September 2023. Darüber sei ein uneingeschränkter und unkontrollierter Zugriff auf den GitHub Enterprise Server von Mercedes möglich gewesen, erklärte Mittal gegenüber TechCrunch. Damit hätten Angreifer „eine große Menge an geistigem Eigentum“ aus den privaten Quellcode-Repositorys des Konzerns abrufen können.
Als Beispiele für die offengelegten Informationen nennt Mittal Verbindungsdaten, Cloud-Zugangsschlüssel, Entwürfe, Design-Dokumente, Passwörter, API-Schlüssel und andere sensible Informationen. Unklar ist wohl noch, ob in den zugänglichen Repositorys auch Kundendaten enthalten waren.
Mercedes bestätigt Quellcode-Offenlegung
TechCrunch hat Mercedes-Benz nach eigenen Angaben am vergangenen Montag über die Entdeckung von RedHunt Labs in Kenntnis gesetzt. Am Mittwoch habe Mercedes-Sprecherin Katja Liesenfeld bestätigt, „dass interner Quellcode durch menschliches Versagen über ein öffentliches GitHub-Repository bereitgestellt wurde“. Das besagte Token sei jedoch mittlerweile widerrufen und das öffentliche Repository entfernt worden.
Weiter erklärte Liesenfeld, dass Mercedes den Vorfall weiterhin untersuchen und gegebenenfalls Abhilfemaßnahmen einleiten werde. „Die Sicherheit unseres Unternehmens sowie unserer Produkte und Dienstleistungen ist eine unserer höchsten Prioritäten“, so die Sprecherin.
Angesichts der Tatsache, dass das Authentifizierungstoken über mehrere Monate hinweg frei zugänglich war, ist durchaus denkbar, dass neben den Forschern von RedHunt Labs noch andere Personen in dessen Besitz gelangt sind. Bisher ist aber nicht bekannt, ob es zu einem Missbrauch kam. TechCrunch behauptet, Mercedes habe sich bisher aus Sicherheitsgründen nicht dazu äußern wollen, ob möglicherweise ein unbefugter Zugriff auf die offengelegten Daten stattgefunden habe oder ob der Konzern überhaupt über die technischen Möglichkeiten verfüge, das festzustellen.