Ein Authentifizierungstoken, also die Alternative zu einem Passwort, hat offenbar den Quellcode von Mercedes-Benz kurzzeitig offengelegt. Es wurde versehentlich in einem öffentlichen GitHub-Repository hinterlassen. Aufgedeckt wurde die Lücke wurde von dem Sicherheitsunternehmen Redhunt Labs aus London.
Es ist bei einem routinemäßigen Scan im Januar auf den Token gestoßen. Shubham Mittal, Mitbegründer von Redhunt Labs, erklärte gegenüber Techcrunch, dass der GitHub-Token „uneingeschränkten“ und „unüberwachten“ Zugriff auf den gesamten Quellcode gewährte, der auf dem internen GitHub Enterprise Server von Mercedes-Benz gehostet wird.
Allerlei Daten wurden auf dem Server gespeichert
Er ergänzte, dass sich auf dem betroffenen Server eine Vielzahl sensibler Daten befinden. Dazu gehören Cloud-Zugriffsschlüssel, Passwörter, API-Schlüssel, Blaupausen und Designdokumente.
Es ist jedoch unklar, ob auch Kundendaten durch den Leak öffentlich zugänglich waren. Ebenso ist nicht bekannt, ob außer den Mitarbeitern von Redhunt Labs noch andere Personen Zugriff auf die Daten hatten.
Mercedes-Benz hat indes bestätigt, dass interner Quellcode geleakt wurde und dass der Fall derzeit analysiert wird.
Sicherheitslücke bereits geschlossen
Techcrunch und Redhunt Labs haben Mercedes-Benz vor einigen Tagen über die entdeckte Sicherheitslücke informiert. Seitdem hat das Unternehmen Maßnahmen ergriffen, um die Lücke zu schließen.
Die beteiligten API-Token wurden widerrufen und das öffentliche Repository, in dem das Authentifizierungstoken hinterlegt war, wurde entfernt. Eine Sprecherin von Mercedes-Benz führte den Leak auf menschliches Versagen zurück.