Yanlış kullanılan bir GitHub belirteci, Mercedes-Benz’in dahili GitHub Kurumsal Hizmetine sınırsız erişim sağlayarak kaynak kodunu kamuya ifşa etti.
Mercedes-Benz, zengin inovasyon geçmişi, lüks tasarımları ve üstün üretim kalitesiyle tanınan prestijli bir Alman otomobil, otobüs ve kamyon üreticisidir.
Pek çok modern otomobil üreticisi gibi marka da araçlarında ve hizmetlerinde güvenlik ve kontrol sistemleri, bilgi-eğlence sistemi, otonom sürüş, teşhis ve bakım araçları, bağlantı ve telematik ile elektrik gücü ve pil yönetimi (EV’ler için) dahil olmak üzere yazılım kullanıyor.
29 Eylül 2023’te RedHunt Labs’taki araştırmacılar, halka açık bir depoda, bir Mercedez çalışanına ait olan ve şirketin dahili GitHub Enterprise Sunucusuna erişim sağlayan bir GitHub tokeni keşfetti.
RedHunt Labs’ın raporunda “GitHub tokenı, Dahili GitHub Kurumsal Sunucuda barındırılan kaynak kodun tamamına ‘sınırsız’ ve ‘izlenmeyen’ erişim sağladı.” ifadesine yer verildi.
“Olay, çok sayıda fikri mülkiyeti barındıran hassas depoları açığa çıkardı ve ele geçirilen bilgiler arasında veritabanı bağlantı dizeleri, bulut erişim anahtarları, planlar, tasarım belgeleri, SSO şifreleri, API anahtarları ve diğer kritik dahili bilgiler yer alıyordu.”
Araştırmacıların açıkladığı gibi, bu verilerin kamuya açıklanmasının sonuçları ciddi olabilir.
Kaynak kodu sızıntıları, rakiplerin özel teknolojiye tersine mühendislik yapmasına veya bilgisayar korsanlarının bunu araç sistemlerindeki potansiyel güvenlik açıklarına karşı incelemesine yol açabilir.
Ayrıca API anahtarlarının açığa çıkması, yetkisiz veri erişimine, hizmet kesintisine ve şirket altyapısının kötü amaçlarla kötüye kullanılmasına yol açabilir.
RedHunt Labs ayrıca, ifşa edilen depoların müşteri verileri içermesi durumunda GDPR ihlali gibi yasal ihlallerin olasılığından da bahsediyor. Ancak araştırmacılar açığa çıkan dosyaların içeriğini doğrulamadı.
RedHunt, TechCrunch’ın yardımıyla 22 Ocak 2024’te Mercedes-Benz’i token sızıntısı konusunda bilgilendirdi ve iki gün sonra bunu iptal ederek, onu tutan ve kötüye kullanan herkesin erişimini engelledi.
Bu olay, Japon otomobil üreticisinin GitHub erişim anahtarının açığa çıkması nedeniyle kişisel müşteri bilgilerinin beş yıl boyunca kamuya açık kaldığını açıkladığı Ekim 2022’deki Toyota güvenlik kazasına benziyor.
Bu olaylar, yalnızca GitHub Enterprise örneklerinin sahiplerinin genellikle IP adreslerini içeren denetim günlüklerini etkinleştirmiş olması durumunda kötü niyetli istismara dair kanıt oluşturur.
BleepingComputer, GitHub sunucusunda herhangi bir yetkisiz erişim belirtisi görüp görmediğini öğrenmek için Mercedes-Benz ile iletişime geçti ve aşağıdaki yanıtı aldık:
Dahili erişim belirteci içeren kaynak kodunun, insan hatası nedeniyle genel GitHub deposunda yayınlandığını doğrulayabiliriz.
Bu belirteç belirli sayıda depoya erişim sağladı ancak Dahili GitHub Kurumsal Sunucuda barındırılan kaynak kodun tamamına erişim sağlamadı.
İlgili jetonu iptal ettik ve halka açık depoyu derhal kaldırdık. Mevcut analizimizin gösterdiği gibi müşteri verileri etkilenmedi.
Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. – Mercedes-Benz
Otomobil üreticisi BleepingComputer’a, güvenlik nedeniyle olayla ilgili teknik ayrıntıları paylaşmak istemediklerini, bu nedenle yetkisiz erişim tespit edip etmediklerinin belirsiz olduğunu söyledi.
Ayrıca firma, dünya çapındaki araştırmacılarla çalışmaya açık olduklarını ve güvenlik açığı açıklama programı aracılığıyla güvenlik raporlarını kabul ettiklerini belirtti.