Ein Authentifizierungstoken, also die Alternative zu einem Passwort, hat offenbar den Quellcode von Mercedes-Benz kurzzeitig offengelegt. Es wurde versehentlich in einem öffentlichen GitHub-Repository hinterlassen. Aufgedeckt wurde die Lücke wurde von dem Sicherheitsunternehmen Redhunt Labs aus London.
Es ist bei einem routinemäßigen Scan im Januar auf den Token gestoßen. Shubham Mittal, Mitbegründer von Redhunt Labs, erklärte gegenüber Techcrunch, dass der GitHub-Token „uneingeschränkten“ und „unüberwachten“ Zugriff auf den gesamten Quellcode gewährte, der auf dem internen GitHub Enterprise Server von Mercedes-Benz gehostet wird.
Allerlei Daten wurden auf dem Server gespeichert
Er ergänzte, dass sich auf dem betroffenen Server eine Vielzahl sensibler Daten befinden. Dazu gehören Cloud-Zugriffsschlüssel, Passwörter, API-Schlüssel, Blaupausen und Designdokumente.
Es ist jedoch unklar, ob auch Kundendaten durch den Leak öffentlich zugänglich waren. Ebenso ist nicht bekannt, ob außer den Mitarbeitern von Redhunt Labs noch andere Personen Zugriff auf die Daten hatten.
Mercedes-Benz hat indes bestätigt, dass interner Quellcode geleakt wurde und dass der Fall derzeit analysiert wird.
Sicherheitslücke bereits geschlossen
Techcrunch und Redhunt Labs haben Mercedes-Benz vor einigen Tagen über die entdeckte Sicherheitslücke informiert. Seitdem hat das Unternehmen Maßnahmen ergriffen, um die Lücke zu schließen.
Die beteiligten API-Token wurden widerrufen und das öffentliche Repository, in dem das Authentifizierungstoken hinterlegt war, wurde entfernt. Eine Sprecherin von Mercedes-Benz führte den Leak auf menschliches Versagen zurück.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team