Sektörel

Mercedes ticari sırlarını ve kaynak kodlarını yanlışlıkla nasıl paylaştı?

Mercedes ticari sırlarını ve kaynak kodlarını yanlışlıkla nasıl paylaştı?Mercedes-Benz sistemlerindeki kritik bir ihmal, Alman otomotiv devinin ticari sırlarının ve kaynak kodlarının sızmasına neden oldu. Peki bu kritik yanlış nasıl yapıldı?

İngiliz merkezli güvenlik şirketi RedHunt Labs, Alman otomotiv devi Mercedes-Benz’in API Anahtarları ve diğer kritik bilgilerine sınırsız erişim sağlayan halka açık bir GitHub deposu keşfetti.

Otomotiv devi olayı doğrularken, sözkonusu deponun kaldırıldığını söyledi.

RedHunt Labs’tan uzmanlar, rutin internet taramasında halka açık bir GitHub deposunda bir Mercedes-Benz çalışanının kimlik doğrulama anahtarını bulduğunu açıkladı.

Söz konusu kimlik doğrulama anahtarının, Alman otomotiv devinin kritik bilgilerine “sınırsız erişim” sağlayabilecek düzeyde olduğu tespit edildi.

Uzmanlara göre GitHub’da kimlik doğrulamak için şifre kullanmaya alternatif olan bu anahtarla herkes, Mercedes’in GitHub kurumsal sunucusuna tam erişim sağlayabilir ve böylece şirketin özel kaynak kodu depolarının indirilmesine olanak sağlayabilirdi.

İlgili GitHub deposunda yer alan kritik bilgiler arasında şirkete ait belgeler, planlar, tasarımlar, bulut erişim anahtarları ve API anahtarları gibi bilgiler yer alıyordu.

Alman otomotiv devi Porsche, bug bounty programı başlattı!

Hatta uzmanlar, deponun Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veri tabanını ve hatta bir Mercedes yazılımının kaynak kodunu ifşa ettiğini doğruladı.

SEBEBİ İNSAN HATASI MI?

Mercedes sözcüsü Katja Liesenfeld, şirketin “ilgili API anahtarını iptal ettiğini ve halka açık depoyu ivedilikle kaldırdığını” söyledi.

Yaptığı açıklamada Liesenfeld, “Dahili kaynak kodunun halka açık bir GitHub deposunda insan hatası nedeniyle yayınlandığını doğrulayabiliriz. Kuruluşumuzun, ürünlerimizin ve hizmetlerimizin güvenliği en önemli önceliklerimizden biridir” ifadelerini kullandı.

Ek olarak önlemler alınacağını vurgulayan sözcü, “Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. Buna bağlı olarak iyileştirici tedbirler uygulayacağız.” dedi.

Kötü niyetli aktörlerin veya siber suçluların söz konusu depoyu kullandığına dair kesin bir kanıt bulunmuyor.

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu