Mercedes'ten büyük hata! Bütün sırlarını dünya ile paylaştı

Alman otomotiv devi Mercedes, dikkat çeken bir güvenlik hatası sonucu kaynak kodlarını ve ticari sırlarını tüm dünyayla yanlışlıkla paylaştı.

İngiltere merkezli güvenlik şirketi RedHunt Labs'ın yaptığı rutin tarama sırasında, Mercedes-Benz'e ait bir GitHub deposunda bulunan kimlik doğrulama belirteci, şirketin ticari sırlarına ve önemli kimlik doğrulama bilgilerine "sınırsız erişim" sağlamak için kullanılabilecek potansiyel bir güvenlik açığı ortaya çıktı.

RedHunt'un kurucu ortağı Shubham Mittal'a göre, keşfedilen kimlik doğrulama belirteci, Alman otomotiv devinin planlarını, tasarım belgelerini ve diğer önemli iç bilgilerini içeren büyük miktarda fikri mülkiyet dosyasına izinsiz erişim sağlıyordu. Bu durum, kötü niyetli kişilerin veya siber suçluların Mercedes-Benz'in GitHub Kurumsal Sunucusuna tam erişim elde etmiş olabileceği anlamına geliyor.

Keşfedilen sunucunun içeriğinde, Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarları, bir Postgres veritabanı ve Mercedes-Benz'in yazılımının kaynak kodu gibi hassas bilgiler de bulunmaktaydı. RedHunt Labs, bu verilerin otomobil üreticisinin tüm BT altyapısını etkileyebilecek şekilde kullanılabileceği uyarısında bulundu.

Mercedes-Benz'den bir sözcü, yaşanan güvenlik açığına ilişkin olarak sınırsız API belirtecinin iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü, otomobil üreticisinin iç kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını belirtti. Şu ana kadar, kötü niyetli aktörlerin veya siber suçluların bu açığı kötüye kullanıp kullanmadığına dair herhangi bir kanıt bulunmamaktadır.