İngiliz merkezli güvenlik şirketi RedHunt Labs, Alman otomotiv devi Mercedes-Benz’in API Anahtarları ve diğer kritik bilgilerine sınırsız erişim sağlayan halka açık bir GitHub deposu keşfetti.
Otomotiv devi olayı doğrularken, sözkonusu deponun kaldırıldığını söyledi.
RedHunt Labs’tan uzmanlar, rutin internet taramasında halka açık bir GitHub deposunda bir Mercedes-Benz çalışanının kimlik doğrulama anahtarını bulduğunu açıkladı.
Söz konusu kimlik doğrulama anahtarının, Alman otomotiv devinin kritik bilgilerine “sınırsız erişim” sağlayabilecek düzeyde olduğu tespit edildi.
Uzmanlara göre GitHub’da kimlik doğrulamak için şifre kullanmaya alternatif olan bu anahtarla herkes, Mercedes’in GitHub kurumsal sunucusuna tam erişim sağlayabilir ve böylece şirketin özel kaynak kodu depolarının indirilmesine olanak sağlayabilirdi.
İlgili GitHub deposunda yer alan kritik bilgiler arasında şirkete ait belgeler, planlar, tasarımlar, bulut erişim anahtarları ve API anahtarları gibi bilgiler yer alıyordu.
Hatta uzmanlar, deponun Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veri tabanını ve hatta bir Mercedes yazılımının kaynak kodunu ifşa ettiğini doğruladı.
SEBEBİ İNSAN HATASI MI?
Mercedes sözcüsü Katja Liesenfeld, şirketin “ilgili API anahtarını iptal ettiğini ve halka açık depoyu ivedilikle kaldırdığını” söyledi.
Yaptığı açıklamada Liesenfeld, “Dahili kaynak kodunun halka açık bir GitHub deposunda insan hatası nedeniyle yayınlandığını doğrulayabiliriz. Kuruluşumuzun, ürünlerimizin ve hizmetlerimizin güvenliği en önemli önceliklerimizden biridir” ifadelerini kullandı.
Ek olarak önlemler alınacağını vurgulayan sözcü, “Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. Buna bağlı olarak iyileştirici tedbirler uygulayacağız.” dedi.
Kötü niyetli aktörlerin veya siber suçluların söz konusu depoyu kullandığına dair kesin bir kanıt bulunmuyor.
