รหัสผ่านที่ถูกเผยแพร่อย่างผิดพลาด อาจส่งผลให้ source code ของ Mercedes-Benz รั่วไหล
Mercedes-Benz พลาดเปิดเผยข้อมูลภายในโดยไม่ได้ตั้งใจ หลังจากปล่อยให้ private key ถูกเข้าถึงได้ออนไลน์ ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าถึง source code ของบริษัทได้ ตามข้อมูลจากบริษัทวิจัยด้านความปลอดภัยที่ค้นพบ
Shubham Mittal ผู้ร่วมก่อตั้ง และประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ RedHunt Labs ให้ข้อมูลกับ TechCrunch เกี่ยวกับการเปิดเผยดังกล่าว และขอความช่วยเหลือในการติดต่อกับบริษัทผู้ผลิตรถยนต์ โดยบริษัทระบุว่าพบ authentication token ของพนักงาน Mercedes ในพื้นที่เก็บข้อมูลบน GitHub ที่เป็นสาธารณะระหว่างการสแกนบนอินเทอร์เน็ตในเดือนมกราคม
ตามข้อมูลของ Mittal โทเค็นนี้เป็นทางเลือกแทนการใช้รหัสผ่านสำหรับการตรวจสอบสิทธิ์ใน GitHub สามารถให้สิทธิ์ทุกคนในการเข้าถึง GitHub Enterprise Server ของ Mercedes ได้เต็มรูปแบบ ซึ่งทำให้สามารถดาวน์โหลดที่เก็บ source code ของบริษัทได้
Mittal ระบุในรายงานที่แชร์กับ TechCrunch ว่า "GitHub token ให้สิทธิ์การเข้าถึง 'ที่ไม่จำกัด' และ 'ไม่มีการตรวจสอบ' ไปยัง source code ทั้งหมดที่ถูกโฮสต์บนเซิร์ฟเวอร์ GitHub Enterprise ภายใน โดยภายในที่เก็บข้อมูลประกอบด้วยข้อมูลทรัพย์สินทางปัญญาจำนวนมาก, connection strings, คีย์สำหรับการเข้าถึงระบบคลาวด์, พิมพ์เขียว, รหัสผ่าน (single sign-on), คีย์ API และข้อมูลภายในที่สำคัญต่าง ๆ"
Mittal ให้ข้อมูลหลักฐานกับ TechCrunch ว่า พื้นที่เก็บข้อมูลที่ถูกเปิดเผยมีคีย์ของ Microsoft Azure และ Amazon Web Services (AWS), ฐานข้อมูล Postgres และ source code ของ Mercedes แต่ยังไม่ทราบว่ามีข้อมูลลูกค้าอยู่ในที่เก็บข้อมูลหรือไม่
TechCrunch ได้เปิดเผยปัญหาดังกล่าวให้กับ Mercedes ในวันจันทร์ที่ผ่านมา (22 มกราคม 2024) และเมื่อวันพุธที่ผ่านมา Katja Liesenfeld โฆษกของ Mercedes ยืนยันว่า บริษัทได้ยกเลิก API token ที่เกี่ยวข้อง และลบพื้นที่เก็บข้อมูลสาธารณะออกในทันที
Liesenfeld ระบุในแถลงการณ์ที่ให้กับ TechCrunch ว่า "บริษัทยืนยันได้ว่า source code ภายในที่ได้รับการเผยแพร่บนพื้นที่เก็บข้อมูลบน GitHub เนื่องมาจากข้อผิดพลาดจาก human error โดยบริษัทให้ความสำคัญกับความปลอดภัยขององค์กร, ผลิตภัณฑ์ และบริการของบริษัทสูงสุด"
Liesenfeld ระบุเพิ่มเติมว่า "เราจะทำการตรวจสอบกรณีนี้ต่อไปตามกระบวนการปกติของบริษัท และจะนำมาตรการที่จำเป็นมาใช้เพื่อแก้ไขปัญหา"
ยังไม่ทราบว่าแน่ชัดว่า ยังมีใครอีกนอกเหนือจาก Mittal ที่พบคีย์ที่ถูกเปิดเผยในครั้งนี้ ซึ่งเหตุการณ์ดังกล่าวอยู่ในช่วงปลายเดือนกันยายน 2023
Mercedes ปฏิเสธคำถามเกี่ยวกับการเข้าถึงข้อมูลที่ถูกเผยแพร่โดยบุคคลอื่นหรือไม่ รวมถึงคำถามที่ว่าบริษัทมีข้อมูลบันทึกการเข้าถึง เพื่อพิจารณาว่ามีการเข้าถึงที่เก็บข้อมูลอย่างไม่เหมาะสมหรือไม่ โดยโฆษกอ้างเหตุผลด้านความปลอดภัยที่ไม่ระบุรายละเอียด
ที่มา : https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/
You must be logged in to post a comment.