Mercedes-Benz leakt Interna, Blaupausen & Sourcecode

Ein öffentlich verfügbarer Token für die Github-Webseite des Autoherstellers Mercedes-Benz ermöglichte es, das unbefugte Personen einen uneingeschränkten und unüberwachten Zugriff auf das GitHub-Angebot des Herstellers erlangen konnten. Dort lagen zahlreiche API- und Cloud-Schlüssel, Blaupausen und Passwörter sowie Sourcecode von Mercedes-Benz bereit.

Token ermöglichte Zugriff

Sicherheitsforscher von RedHunt Labs sind im Netz auf einen Token für die GitHub-Präsenz von Mercedes-Benz gestoßen, wodurch man auf vertrauliche Daten des Konzerns zugreifen konnte. Wie die Plattform TechCrunch berichtet, sind die Forscher dazu mittels eines Routinescans in einem öffentlich abrufbaren GitHub-Repositity gelangt. Der Token fungierte dazu als Alternative zu einem Passwort für die Anmeldung und gewährte den Zugriff auf den Dienst. Gegenüber TechCrunch hatte dies ein Konzernsprecher auch schon bestätigt, wobei der Autohersteller den Token bereits dessen Gültigkeit entzogen hat. Zusätzlich versicherte der Konzern, dass das Repository nicht mehr öffentlich einsehbar ist. Entdeckt wurde der Token im laufenden Januar, wobei die Datei bereits im September 2023 veröffentlicht wurde.

Blaupausen und Sourcecode

Nach Angaben der Forscher lagen auf der GitHub-Webseite von Mercedes-Benz viele interne Daten, wie API- und Cloud-Schlüssel, Blaupausen, Sourcecode und Passwörter sowie selbst Verbindungsdaten. So ermöglichte auch ein dort abgelegter Amazon-Web-Services-Schlüssel den Zugriff auf weitere Daten in der AWS-Cloud. Gerade der Fremdzugriff auf Blaupausen und Sourcecode kann dabei weitreichende datenschutzrechtliche Folgen haben. Inwieweit in der Repository auch Kundendaten liegen, ist jedoch nicht bekannt. Mercedes-Benz will den Vorgang jedoch weiter untersuchen und ggf. weitere Schritte einleiten.

Einen ähnlichen Vorfall gab es zuletzt im Oktober 2022 bei Toyota, wo damals fast 300.000 Toyota-Kundendaten über einen Zeitraum von fünf Jahren abrufbar waren. Bei GitHub selbst handelt es sich um einen Onlinedienst zur Softwareentwicklung und Versionsverwaltung von Softwareprojekten des US-Unternehmens GitHub Inc aus San Francisco.

Symbolbilder: Mercedes-Benz Group AG

Abonnieren
Benachrichtige mich bei
20 Kommentare
Älteste
Neueste Meist bewertet
Inline Feedbacks
Betrachte alle Kommentare:
G Fahra
25 Tage zuvor

Katastrophe! Es wurden die Blaupausen für das Karroseriedesign des EQS und des EQE geleakt. Es ist jetzt damit zu rechnen, dass alle namenhaften deutschen und chinesischen Hersteller das Design beider Modelle zig-fach kopieren werden und sich ein großes Stück des Kuchens der Elektromobilität abgreifen werden.

Andreas Steinbeck
Reply to  Markus Jordan
25 Tage zuvor

Ja, Kundendaten wurden abgegriffen. Es lag alles offen.

Datenschutz, 6.

Theo
Reply to  G Fahra
25 Tage zuvor

Echt komisch. Hab schon festgestellt, dass das Design von EQE und EQS den jungen Leuten Mitte zwanzig oft bombig gefällt. Als Fahrer eines EQE gefällt mir das Design auch gut, weil ich drinsitze 🙂 …ansonsten finde ich die Technik und das Fahrverhalten spitzenmäßig. Schlimm nur, dass ich irgendwann halt immer aussteigen muss…übel. Augen zu und durch!

Niederlassung Viano
Reply to  G Fahra
25 Tage zuvor

Clever gemacht von Mercedes, sobald die Tesla und byds aussehen wie ein eqe/eqs wird Mercedes wieder richtige Autos bauen…

Theo
25 Tage zuvor

Ich versteh nur Bahnhof!

Andreas Steinbeck
25 Tage zuvor

Und was stand in den geleakten Daten jetzt drin, was so kommt?

EQ44fahrer
25 Tage zuvor

Nicht witzig. Ein Armutszeugnis für diesen Konzern. Da beschäftigt man in- und extern hochbezahlte Daten- und Informationssicherheitsexperten und rühmt sich immer wieder der eigenen Datenschutzkompetenz (zählt hier eigentlich auch irgendwer die Zustimmungspflichtigen AGB-Erklärungen für MMe pro Jahr mit?) und prahlt ganz frisch mit KI im Auto und dann wird sowas aufgedeckt. Vertrauenserweckend.

Ich bin gespannt, ob ggf. auch Kundendaten betroffen sind. Das wäre ein Luxus, den sich MB definitiv nicht leisten kann. Dann müssen Köpfe rollen.

EQ44fahrer
Reply to  Markus Jordan
25 Tage zuvor

Tja, am Ende ist doch fast immer alles irgendwie auf menschliches Versagen zurückzuführen. Selbst Organisations- und Auswahlentscheidungen. Aus der Verantwortung kommt man auch nach DSGVO zum Glück nicht heraus.
Schreibmaschine ist ein guter Vorschlag.

Jürgen
25 Tage zuvor

Wenn die Weitergabe von Quellcode von Drittfirmen wie Lieferanten darunter war, kann das unangenehm werden, da Geheimhaltungsvereinbarungen fahrlässig gebrochen wurden. Ich bin kein Anwalt aber ich befürchte, da ließe sich Schadensersatz geltend machen, wenn IP von Zulieferern einsehbar war.

Wie es sich mit Kundendaten verhielt weiß ich nicht. Was ist da das kritischste? Kundennamen und die Standorte der Fahrzeuge inkl. Fahrtverläufe?

JMK
Reply to  Jürgen
24 Tage zuvor

Wenn jemand einen Token aus einem Repo zieht, um dieses dann zu nutzen um auf weitere Repos Zugriff zu erlangen, dürfte das wohl strafbar sein.
Da Mercedes keine Selbstanzeige beim Datenschutz gestellt hat, waren wahrscheinlich keine Kundendaten betroffen. Fahrtverläufe zeichnet MB nicht auf, es sei denn man hat den Fahrtenbuch Dienst geordert, da braucht man das ja dann auch.

Tom
24 Tage zuvor

Das ist die logische Folge der Organisationform, die Cars gewählt hat. Cyber Security ist komplett verteilt quer übers Unternehmen. Car Security ist woanders aufgehängt als Cyber Security für die IT, die Fachbereiche sind nochmal separat. Eine zentrale Governance ist nicht existent. Einen einheitlichen Prozess für Softwareentwicklung gibts nicht. Jeder macht was er will, die Fachbereiche wissen alles besser und organisieren sich selbst. Ist nicht das erste Mal, dass kritische DAten offenliegen bei MB. R&D kümmert sich ohnehin nur um sich selbst – kurzeum: ein einziger Wildwuchs. Ich bin froh, dass ich dort nicht mehr arbeiten muss. Von derartigen Verstößen werden wir in Zukunft noch mehr hören.

Marc W.
Reply to  Tom
24 Tage zuvor

Es ist unangemessen, von „arbeiten müssen“ in der Vergangenheit zu reden. In der Automobilbranche ist vergleichsweise üppig entlohnt worden, weil die Kunden überhöhte Preise zu zahlen bereit waren. Aber alles ändert sich ja dramatisch. MB auf chinesisch könnte tatsächlich überleben, mit ganz anderen Kunden natürlich.

Tom
Reply to  Marc W.
24 Tage zuvor

Naja, wenn du Haus abzahlst, noch ein paar Jahre bis zur Rente hast, deine Familie ernähren willst, dann ist „arbeiten müssen“ ein üblicher Terminus. 😉 Ganz ohne Wertung.

EQ44fahrer
Reply to  Tom
23 Tage zuvor

Du beschreibst ganz gut und plastisch anhand des Beispiels MB, was ich mit Organisationsversagen meinte. Sollten die Verhältnisse so chatisch sein, wie von dir beschrieben (davon ging und gehe ich aus), dann ist hier dringend etwas abzustellen und zu ändern.

TinLizzie
24 Tage zuvor

Kein Unternehmen und keine Organisation dieser Welt ist vor solchen Ereignissen gefeit, aber schön, dass die ganzen Schlaumeier hier noch nie Fehler im beruflichen oder privaten Bereich gemacht haben und damit nichts entsprechendes zu verantworten hatten, chapeau!

Wenn tatsächlich individuelles menschliches Versagen der Grund war, dann tut mir der- oder diejenige jedenfalls von Herzen leid, ich würde das Echo meines Arbeitgebers nicht ertragen wollen. Da ist jegliche Häme absolut Fehl am Platz!

EQ44fahrer
Reply to  TinLizzie
23 Tage zuvor

Schlaumeiertum?
Toms Beitrag gelesen?
Selbst vielleicht so ein selbstherrlicher Schlaumeier aus der IT-Sphäre von MB?

Es ist leider nach meiner Erfahrung Usus, dass ausgerechnet von jenen Fachkräften, von denen man eigentlich besonders hohe Sensibelität erwarten müssten, solche kritischen Vorfälle heruntergespielt werden, statt sie als das zu sehen was sie sind: Ein großes Problem, dessen Ursachen dringend abgestellt werden müssen.

Unser ISB ist nicht grundlos von extern bestellt und arbeitet eng mit den internen Datenschützern zusammen. Allein diese Aufhängung stellt schon sicher, dass er immer genau da zubeißt, wo es notwendig ist und weh tut. Vielleicht wäre das ja ein überlegenswerter Ansatz für MB. So viele Mitarbeiter in der IT arbeiten ja sowiese schon über Zeitarbeit und befristet… Da kann man auch ruhig zentrale Funktionen externalisieren.

TinLizzie
Reply to  EQ44fahrer
23 Tage zuvor

Deine Erfahrungen oder die von Tom seien unbenommen. Es ging mir ersichtlich um das Thema „individueller Fehler“ (das war doch es doch wohl, Stand meiner Info) und nicht um Organisationsformen in der IT.
Aber wenn du da der Problemlöser mit exzellenter Expertise bist (von wegen „selbstherrlich“…), kannst du dich ja gerne bei Mercedes andienen (und nein, ich habe mit der IT bei Mercedes rein gar nichts zu tun).
Ich bin mir aber sicher, und ich wiederhole mich gerne, dass keine Organisation der Welt innerhalb und außerhalb der IT individuelles fehlerhaftes Handeln verhindern kann.