As grandes empresas usam regularmente o GitHub como parte do seu processo de desenvolvimento de software, mas ao mesmo tempo, usar esta plataforma exige que sejam aplicadas medidas de segurança para prevenir que código potencialmente sensível seja divulgado ou acedido.
No caso da Mercedes, parece que um erro de configuração pode ter levado a que terceiros conseguissem aceder a código fonte do software interno da empresa.
A Mercedes-Benz confirmou que, devido a uma falha com a configuração de tokens no GitHub, parte do seu código fonte terá ficado acessível na sua conta do GitHub Enterprise.
A 29 de Setembro de 2023, os investigadores da empresa RedHunt Labs revelaram ter obtido acesso a um token do GitHub da empresa, pertencente a um funcionário da marca. Isto terá permitido o aceso ao sistema interno da empresa, e consequentemente aos dados existentes no mesmo.
Os investigadores afirmam que o token terá permitido acesso sem restrições a todo o código fonte existente no servidor do GitHub Enterprise, associado com aplicações e sistemas da fabricante, que seriam usados em várias frentes.
Apesar de os dados terem sido acedidos pelos investigadores, a incorreta configuração que terá permitido acesso ao token poderia levar a que criminosos tivessem a capacidade de aceder a informação sensível da empresa.
Ao mesmo tempo, este acesso poderia permitir a atacantes obterem o código fonte e explorarem o mesmo por falhas, ou poderiam ser usados por outros fabricantes para roubar informações dos sistemas.
A Mercedes terá sido informada da falha no dia 22 de Janeiro de 2024, sendo que o token foi bloqueado dois dias depois – mas os investigadores apontaram que a falha apenas foi confirmada pela empresa depois dos investigadores terem contactado alguns meios de imprensa internacionais, que aplicaram pressão na fabricante e questões associadas com o potencial para roubo de dados.
A fabricante terá confirmado a existência do token, e afirma que o mesmo terá ocorrido por uma falha humana, no entanto não foram deixados mais detalhes sobre o caso. A empresa afirma ainda que, por questões de segurança, não irá partilhar informações adicionais associadas com o incidente.
Nenhum comentário
Seja o primeiro!