Mercedes-Benz ha commesso un grave errore permettendo l’esposizione di una serie di dati interni a causa di un’imperizia che ha portato alla pubblicazione di una chiave privata online. Questo ha concesso un accesso illimitato al suo codice sorgente, come ha rilevato RedHunt Labs, un’azienda specializzata in sicurezza informatica.
Shubham Mittal, co-fondatore e CTO di RedHunt Labs, ha segnalato il problema a TechCrunch, chiedendo assistenza per informare immediatamente la casa automobilistica. Secondo Mittal, il token di autenticazione di un dipendente Mercedes è stato trovato in un repository GitHub pubblico durante una scansione Internet di routine a gennaio. Questo token potrebbe garantire a chiunque l’accesso completo al GitHub Enterprise Server di Mercedes, permettendo il download dei repository di codice sorgente privati dell’azienda.
I repository contengono una vasta quantità di informazioni sensibili, come stringhe di connessione, chiavi di accesso al cloud, progetti, documenti di progettazione, password, chiavi API e altre informazioni critiche.
La portavoce di Mercedes, Katja Liesenfeld, ha confermato che l’azienda ha immediatamente revocato il token API coinvolto e rimosso il repository pubblico. Liesenfeld ha sottolineato l’importanza della sicurezza per Mercedes e ha annunciato che l’incidente sarà oggetto di ulteriori analisi e correzioni.
Nonostante la revoca del token, non è chiaro se altri individui abbiano individuato la chiave esposta e se ciò abbia portato a una fuga di dati. Mercedes ha rifiutato di confermare se terze parti abbiano avuto accesso ai dati esposti e se la società sia in grado di identificare eventuali accessi impropri, citando motivi di sicurezza non specificati.
Questo episodio mette in luce l’importanza della sicurezza dati nel settore automobilistico e richiama l’attenzione su una gestione più attenta delle informazioni sensibili online.
