Ein öffentlich verfügbarer Token für die Github-Webseite des Autoherstellers Mercedes-Benz ermöglichte es, das unbefugte Personen einen uneingeschränkten und unüberwachten Zugriff auf das GitHub-Angebot des Herstellers erlangen konnten. Dort lagen zahlreiche API- und Cloud-Schlüssel, Blaupausen und Passwörter sowie Sourcecode von Mercedes-Benz bereit.
Token ermöglichte Zugriff
Sicherheitsforscher von RedHunt Labs sind im Netz auf einen Token für die GitHub-Präsenz von Mercedes-Benz gestoßen, wodurch man auf vertrauliche Daten des Konzerns zugreifen konnte. Wie die Plattform TechCrunch berichtet, sind die Forscher dazu mittels eines Routinescans in einem öffentlich abrufbaren GitHub-Repositity gelangt. Der Token fungierte dazu als Alternative zu einem Passwort für die Anmeldung und gewährte den Zugriff auf den Dienst. Gegenüber TechCrunch hatte dies ein Konzernsprecher auch schon bestätigt, wobei der Autohersteller den Token bereits dessen Gültigkeit entzogen hat. Zusätzlich versicherte der Konzern, dass das Repository nicht mehr öffentlich einsehbar ist. Entdeckt wurde der Token im laufenden Januar, wobei die Datei bereits im September 2023 veröffentlicht wurde.
Blaupausen und Sourcecode
Nach Angaben der Forscher lagen auf der GitHub-Webseite von Mercedes-Benz viele interne Daten, wie API- und Cloud-Schlüssel, Blaupausen, Sourcecode und Passwörter sowie selbst Verbindungsdaten. So ermöglichte auch ein dort abgelegter Amazon-Web-Services-Schlüssel den Zugriff auf weitere Daten in der AWS-Cloud. Gerade der Fremdzugriff auf Blaupausen und Sourcecode kann dabei weitreichende datenschutzrechtliche Folgen haben. Inwieweit in der Repository auch Kundendaten liegen, ist jedoch nicht bekannt. Mercedes-Benz will den Vorgang jedoch weiter untersuchen und ggf. weitere Schritte einleiten.
Einen ähnlichen Vorfall gab es zuletzt im Oktober 2022 bei Toyota, wo damals fast 300.000 Toyota-Kundendaten über einen Zeitraum von fünf Jahren abrufbar waren. Bei GitHub selbst handelt es sich um einen Onlinedienst zur Softwareentwicklung und Versionsverwaltung von Softwareprojekten des US-Unternehmens GitHub Inc aus San Francisco.
Symbolbilder: Mercedes-Benz Group AG