Mercedes-Benz inadvertidamente expôs uma série de dados internos após deixar online uma chave privada que concedia “acesso irrestrito” ao código-fonte da empresa, revelou a empresa de pesquisa de segurança RedHunt Labs.
Shubham Mittal, cofundador e diretor de tecnologia do RedHunt Labs, alertou o TechCrunch sobre a exposição e solicitou assistência para divulgar à montadora. A empresa de segurança cibernética com sede em Londres descobriu um token de autenticação de um funcionário da Mercedes em um repositório público do GitHub durante uma varredura de rotina na Internet em janeiro.
De acordo com Mittal, esse token poderia conceder acesso total ao GitHub Enterprise Server da Mercedes, permitindo o download dos repositórios privados de código-fonte da empresa.
“O token GitHub deu acesso ‘irrestrito’ e ‘não monitorado’ a todo o código-fonte hospedado no GitHub Enterprise Server interno”, explicou Mittal em um relatório compartilhado pelo TechCrunch. “Os repositórios incluem uma grande quantidade de propriedade intelectual… cadeias de conexão, chaves de acesso à nuvem, projetos, documentos de design, senhas [de login único], chaves de API e outras informações internas críticas.”
Mittal forneceu evidências de que os repositórios expostos continham chaves do Microsoft Azure e Amazon Web Services (AWS), um banco de dados Postgres e código-fonte da Mercedes. Não se sabe se algum dado do cliente estava contido nos repositórios.
O TechCrunch notificou a Mercedes sobre o problema de segurança na segunda-feira. Na quarta-feira, a porta-voz da Mercedes, Katja Liesenfeld, confirmou que a empresa “revogou o respectivo token API e removeu o repositório público imediatamente”.
“A segurança da nossa organização, produtos e serviços é uma das nossas principais prioridades”, disse Liesenfeld em comunicado ao TechCrunch. “Continuaremos analisando este caso de acordo com nossos processos normais. Dependendo disso, implementamos medidas corretivas.”
Não se sabe se mais alguém além de Mittal descobriu a chave exposta, que foi publicada no final de setembro de 2023.
A Mercedes se recusou a comentar sobre qualquer acesso de terceiros aos dados expostos ou se a empresa tem capacidade técnica para determinar se houve acesso indevido aos seus repositórios de dados.
Na semana passada, o TechCrunch informou exclusivamente que a subsidiária da Hyundai na Índia corrigiu um bug que expôs informações pessoais de clientes.