網絡安全公司 RedHunt Labs 日前在例行互聯網掃描中發現知名公司梅賽德斯奔馳不慎泄露員工的梅賽密鑰身份驗證令牌，這導致該公司在 GitHub 企業版上托管的德斯代碼所有源代碼、存儲庫全部暴露在公網上。奔馳杭州怎么約小姐酒店上門電vx《192-1819-1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達

根據分析梅賽德斯奔馳的不致整 GitHub Enterprise Server 上包含大量機密內容：

• 整個源代碼
• 知識產權內容
• 用來連接其他服務的字符串
• AWS/Azure 連接密鑰
• 設計藍圖
• 設計文檔
• SSO 密碼
• API 密鑰
• 其他關鍵信息

其中 AWS 和 Microsoft Azure 連接密鑰則可以用來登錄梅賽德斯奔馳在 AWS 和微軟托管的服務器，這又可能導致更多私密數據暴露。慎泄司源

開發者不慎在 GitHub 上暴露了令牌：

GitHub 允許開發者生成身份驗證令牌作為替代密碼的露私藍點驗證方案，梅賽德斯奔馳的鑰導員工不慎在一個公共 GitHub 中暴露了自己的令牌，這意味著任何人拿到這個令牌后都可以直接訪問梅賽德斯奔馳的全部 GitHub Enterprise Server 并下載所有數據。

RedHunt Labs 基于安全驗證目的泄露瀏覽了部分數據，發現里面還包含 AWS 和 Azure 密鑰、梅賽密鑰杭州怎么約小姐酒店上門電vx《192-1819-1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達Postgres 數據庫和梅賽德斯的德斯代碼其他源代碼等。

隨后該安全公司通過 TechCrunch 聯系梅賽德斯奔馳進行反饋，奔馳接到反饋后梅賽德斯奔馳立即確認了問題并撤銷了令牌，不致整同時把暴露令牌的慎泄司源整個存儲庫都刪了。

是露私藍點否泄露數據目前還不清楚：

掃描顯示梅賽德斯奔馳員工是在 2023 年 9 月下旬不慎暴露自己的身份驗證令牌，也就是說到撤銷的時候已經有幾個月，這幾個月難免會有其他黑客掃描到令牌進而竊取了所有數據。

遺憾的是梅賽德斯奔馳拒絕透露是否知道任何第三方訪問了暴露的數據，或者說沒人知道該公司有沒有能力檢查數據遭到異常訪問，這可能需要完整的排查過去幾個月的日志。

最新評論