網路安全公司 RedHunt Labs 日前在例行網路掃描中發現賓士不慎洩露員工的身份驗證令牌,這導致該公司在 GitHub 企業版上託管的所有原始碼、儲存庫全部暴露在公網上。
根據分析,賓士的 GitHub Enterprise Server 上包含大量機密內容:
-
整個原始碼
-
智慧財產權內容
-
用來連接其他服務的字串
-
AWS/Azure 連接金鑰
-
設計藍圖
-
設計文件
-
SSO 密碼
-
API 金鑰
-
其他關鍵資訊
其中 AWS 和 Microsoft Azure 連接金鑰則可以用來登錄賓士在 AWS 和微軟託管的伺服器,這又可能導致更多私密資料暴露。
開發者不慎在 GitHub 上暴露了令牌
GitHub 允許開發者生成身份驗證令牌作為替代密碼的驗證方案,賓士員工不慎在一個公共 GitHub 中暴露了自己的令牌,這意味著任何人拿到這個令牌後都可以直接瀏覽賓士的 GitHub Enterprise Server 並下載所有資料。
RedHunt Labs 基於安全驗證目的瀏覽了部分資料,發現裡面還包含 AWS 和 Azure 金鑰、Postgres 資料庫和賓士的其他原始碼等。
隨後該安全公司通過 TechCrunch 聯絡賓士,接到資訊後賓士立即確認了問題並撤銷了令牌,同時把暴露令牌的整個儲存庫都刪了。
是否洩露資料目前還不清楚
掃描顯示賓士員工是在 2023 年 9 月下旬不慎暴露自己的身份驗證令牌,也就是說到撤銷的時間,這些內容暴露已經有至少4個月的時間了,這幾個月難免會有其他駭客掃描到令牌進而竊取了所有資料。
遺憾的是賓士拒絕透露是否知道任何第三方獲得了暴露的資料,或者說沒人知道該公司有沒有能力檢查資料遭到異常訪問,這可能需要完整的排查過去幾個月的日誌。
- 延伸閱讀:微軟 GitHub Copilot 程式助手被爆會在輸出程式時「換個口吻改寫程式碼」來規避版權
- 延伸閱讀:GitHub CEO表示:用戶用過就離不開AI 助手Copilot,已成公司重要的搖錢樹
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!