Skip to main content

Mercedes kazara kaynak kodunu ve ticari sırlarını tüm dünyayla paylaştı

Güvenlik araştırmacıları, büyük sanayi oyuncularına ilişkin korunmasız sunucuları ya da açıkta kalan “sırları” bulmak için nizamlı olarak interneti tarıyor. İngiltere merkezli güvenlik şirketi RedHunt Labs’ın bu emele hizmet eden taramasında …

Güvenlik araştırmacıları, büyük sanayi oyuncularına ilişkin korunmasız sunucuları ya da açıkta kalan “sırları” bulmak için nizamlı olarak interneti tarıyor. İngiltere merkezli güvenlik şirketi RedHunt Labs’ın bu emele hizmet eden taramasında Mercedes-Benz’in kaynak kodunu ve ticari sırlarını barındıran bir GitHub deposu ortaya çıkartıldı.

RedHunt kurucu ortağı Shubham Mittal‘ın belirttiğine nazaran GitHub’da bulunan kimlik doğrulama belirteci Alman otomotiv devinin ticari sırlarına ve başka değerli kimlik doğrulama bilgilerine “sınırsız erişim” elde etmek için kullanılmış olabilir. RedHunt, ocak ayında rutin bir internet taraması sırasında açığa çıkan kimlik doğrulama belirtecini tespit etmiş olsa da belirtecin kendisi Eylül 2023’te yayınlanmıştı. Makûs niyetli bireyler ya da siber hatalılar özel anahtarı kullanarak Mercedes-Benz’e ilişkin bir GitHub Kurumsal Sunucusuna tam erişim elde etmiş olabilir.

Basit fakat kritik bir insan hatası

Kelam konusu sunucuda depolanan dataların hacmi ve hassasiyetinin hakikaten şaşırtan olduğu belirtiliyor. GitHub belirteci, planlar, tasarım evrakları ve başka “kritik” dahili bilgiler de dahil olmak üzere büyük ölçüde Mercedes-Benz fikri mülkiyet evrakına sınırsız ve izlenmeyen erişim sağlıyordu. RedHunt Labs, sunucunun tıpkı vakitte bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri de barındırdığını ve bunların araba üreticisinin tüm BT altyapısını bozmak için kullanılabileceğini, gibisi görülmemiş ve kaotik bir durum yaratabileceğini vurguladı.

Daha da berbatı RedHunt Labs, inançsız depoların Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veritabanını ve hatta Mercedes-Benz yazılımının kaynak kodunu ifşa ettiğini (kanıtlarla) doğruladı. Olayın tahminen de tek olumlu yanı etkilenen sunucuların hiçbirinde müşteri verisinin olmaması.

Mercedes-Benz şirketinden bir sözcü kısa müddet içinde sınırsız API belirtecinin iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü, araba üreticisinin dahili kaynak kodunun insan yanılgısı nedeniyle ezkaza halka açık bir GitHub sunucusunda yayınlandığını söyledi.

Denetlenmeyen belirteç aylarca kamunun erişimine açık kaldı, fakat şu ana kadar berbat niyetli aktörlerin yahut siber hatalıların Mercedes-Benz’in işini tehlikeye atmak için sırrı keşfedip berbata kullanabildiklerine dair bir delil yok.

Primis Solutions