Anlık Bildirim

Mercedes yanlışlıkla kaynak kodunu ve ticari sırlarını tüm dünyayla paylaştı

Mercedes-Benz’in yanlışlıkla kaynak kodunu ve ticari sırlarını tüm dünyayla paylaştığı ortaya çıktı. GitHub’da keşfedilen bilgiler basit bir insan hatasından kaynaklandığı bildiriliyor.
Mercedes yanlışlıkla kaynak kodunu ve ticari sırlarını paylaştı Tam Boyutta Gör
Güvenlik araştırmacıları, büyük endüstri oyuncularına ait korunmasız sunucuları ya da açıkta kalan "sırları" bulmak için düzenli olarak interneti tarıyor. İngiltere merkezli güvenlik şirketi RedHunt Labs’ın bu amaca hizmet eden taramasında Mercedes-Benz’in kaynak kodunu ve ticari sırlarını barındıran bir GitHub deposu ortaya çıkartıldı.

RedHunt kurucu ortağı Shubham Mittal'ın belirttiğine göre GitHub’da bulunan kimlik doğrulama belirteci Alman otomotiv devinin ticari sırlarına ve diğer önemli kimlik doğrulama bilgilerine "sınırsız erişim" elde etmek için kullanılmış olabilir. RedHunt, ocak ayında rutin bir internet taraması sırasında açığa çıkan kimlik doğrulama belirtecini tespit etmiş olsa da belirtecin kendisi Eylül 2023'te yayınlanmıştı. Kötü niyetli kişiler ya da siber suçlular özel anahtarı kullanarak Mercedes-Benz'e ait bir GitHub Kurumsal Sunucusuna tam erişim elde etmiş olabilir.

Basit ancak kritik bir insan hatası

Mercedes yanlışlıkla kaynak kodunu ve ticari sırlarını paylaştı Tam Boyutta Gör
Söz konusu sunucuda depolanan verilerin hacmi ve hassasiyetinin gerçekten şaşırtıcı olduğu belirtiliyor. GitHub belirteci, planlar, tasarım belgeleri ve diğer "kritik" dahili bilgiler de dahil olmak üzere büyük miktarda Mercedes-Benz fikri mülkiyet dosyasına sınırsız ve izlenmeyen erişim sağlıyordu. RedHunt Labs, sunucunun aynı zamanda bulut erişim anahtarlarını, API anahtarlarını ve ek şifreleri de barındırdığını ve bunların otomobil üreticisinin tüm BT altyapısını bozmak için kullanılabileceğini, benzeri görülmemiş ve kaotik bir durum yaratabileceğini vurguladı.

Daha da kötüsü RedHunt Labs, güvensiz depoların Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veritabanını ve hatta Mercedes-Benz yazılımının kaynak kodunu ifşa ettiğini (kanıtlarla) doğruladı. Olayın belki de tek olumlu yanı etkilenen sunucuların hiçbirinde müşteri verisinin olmaması.

Mercedes-Benz şirketinden bir sözcü kısa süre içinde sınırsız API belirtecinin iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü, otomobil üreticisinin dahili kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını söyledi.

Denetlenmeyen belirteç aylarca kamunun erişimine açık kaldı, ancak şu ana kadar kötü niyetli aktörlerin veya siber suçluların Mercedes-Benz'in işini tehlikeye atmak için sırrı keşfedip kötüye kullanabildiklerine dair bir kanıt yok.

Bu haberi, mobil uygulamamızı kullanarak indirip,
istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz:
DH Android Uygulamasını İndir DH iOS Uygulamasını İndir
Önceki Haftalar
Tüm Zamanların En İyi Yorumcuları
ANLIK GÖRÜNTÜLEMELER
1 Kişi Okuyor (0 Üye, 1 Misafir) 1 Masaüstü

GENEL İSTATİSTİKLER
67773 kez okundu.
13 kişi, toplam 13 yorum yazdı.

HABERİN ETİKETLERİ
mercedes benz, mercedes ve
Sorgu:

Editörün Seçtiği Sıcak Fırsatlar

Sıcak Fırsatlar Forumunda Tıklananlar

Tavsiyelerimiz

Yeni Haber
şimdi
Geri Bildirim