奔驰源代码意外泄露,暴露内部敏感数据

1706668163_65b9b083c6ababe14323c.png!small

近日,RedHunt 实验室的研究人员发现,梅赛德斯-奔驰无意中留下了可在线访问的私钥,暴露了内部数据,包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。

梅赛德斯-奔驰(Mercedes-Benz)是德国著名的汽车、公共汽车和卡车制造商,以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。

与许多现代汽车制造商一样,奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理,以及电力和电池管理(电动汽车)等软件工具。

2023 年 9 月 29 日,RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌,该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道:GitHub 令牌允许'不受限制'和'不受监控'地访问托管在内部 GitHub 企业服务器上的全部源代码。

该事件导致存放大量知识产权的敏感存储库数据泄露。其中,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。

源代码泄露可能会导致竞争对手对专有技术进行逆向工程,黑客很可能通过这种方式发现汽车系统中的潜在漏洞。

此外,API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。

RedHunt 实验室还提到,如果被暴露的存储库中包含客户数据,则有可能触犯法律,比如违反 GDPR。不过,研究人员尚未验证被暴露文件的内容。

RedHunt 在 TechCrunch 的帮助下,于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件,并在两天后撤销了该令牌,阻止了所有持有和滥用令牌者的非法访问。

这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露,由于 GitHub 访问密钥被暴露,客户个人信息在长达五年的时间里仍可被公开访问。

只有当 GitHub 的所有者激活了审计日志,通常包括 IP 地址,才会产生恶意利用的实质性证据。

关于此次事件,梅赛德斯-奔驰公司的具体回复如下:

目前可以确认的是由于人为错误,奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。

并且该令牌允许外部人员访问一定数量的仓库,但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌,并立即删除了公共存储库,所以目前客户数据未受影响。- 梅赛德斯-奔驰

出于安全原因,梅赛德斯奔驰方面表示并不想分享该事件的技术细节,因此目前还不清楚他们是否检测到了未经授权的访问。此外,该公司还表示,他们愿意与全球研究人员合作,并通过漏洞披露计划接受安全报告。

参考来源:奔驰源代码意外泄露,暴露内部敏感数据

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/360403.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Github 上传项目(个人令牌token)

1.点击 github头像 : setting -> Developer Settings -> Personal access tokens 2.在要上传的文件夹下运行以下命令: git init git commit -m "first commit" git branch -M main 利用以下命令模…

2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷10

某企业根据自身业务需求,实施数字化转型,规划和建设数字化平台,平台聚焦“DevOps开发运维一体化”和“数据驱动产品开发”,拟采用开源OpenStack搭建企业内部私有云平台,开源Kubernetes搭建云原生服务平台,选…

机器学习复习(4)——CNN算法

目录 数据增强方法 CNN图像分类数据集构建 导入数据集 定义trainer 超参数设置 数据增强 构建CNN网络 开始训练 模型测试 数据增强方法 # 一般情况下,我们不会在验证集和测试集上做数据扩增 # 我们只需要将图片裁剪成同样的大小并装换成Tensor就行 test_t…

上位机在工业控制系统中的重要作用及其与PLC的互补关系

上位机在工业控制系统中的重要作用及其与PLC的互补关系 在现代工业自动化领域,上位机与可编程逻辑控制器(PLC)都是不可或缺的重要组成部分。它们各自发挥着独特的优势,在实现生产过程控制、监控和数据管理中扮演了关键角色。然而&…

postgresql 查询缓慢原因分析

pg_stat_activity 最近发现系统运行缓慢,查询数据老是超时,于是排查下pg_stat_activity 系统表,看看有没有耗时的查询sql SELECT pid, state, query, query_start, backend_type FROM pg_stat_activity WHERE state active AND query LIK…

USB清理软件USBclean轻松清理.DS_Store,Thumbs.db,.Spotlight文件

USBclean for Mac是一款Mac上的USB清理工具,USBclean mac版能够帮助我们快捷方便地为你清理外部磁盘垃圾文件,它支持将.DS_Store, Thumbs.db, .Spotlight 以及回收站中的垃圾文件进行清理。操作也十分简单,只需要将要清理的外部磁盘拖拽到USB…

C++ 数论相关题目 台阶-Nim游戏

现在,有一个 n 级台阶的楼梯,每级台阶上都有若干个石子,其中第 i 级台阶上有 ai 个石子(i≥1 )。 两位玩家轮流操作,每次操作可以从任意一级台阶上拿若干个石子放到下一级台阶中(不能不拿)。 已经拿到地面…

踩了一堆坑,终于把微服务系统全面升级 JDK17 和 SpringBoot3 了

最近正在给自己的开源项目校园博客升级到 JDK17 以及 SpringBoot3,正好记录下升级和踩坑的过程,给大家提供一些解决方案的参考。 先说结论:非常推荐升级JDK17,成本低收益高。至于SpringBoot3.0,迁移成本比较高&#x…

MongoDB数据模型和WiredTiger读写模型

MongoDB数据模型 思考:MongoDB为什么会使用BSON? BSON协议与数据类型 JSON JSON是当今非常通用的一种跨语言Web数据交互格式,属于ECMAScript标准规范的一个子集。JSON(JavaScript Object Notation, JS对象简谱)即J…

调试OpenHarmony应用/服务

调试流程 DevEco Studio提供了丰富的OpenHarmony应用/服务调试能力,帮助开发者更方便、高效的调试应用/服务。 OpenHarmony应用/服务调试支持使用真机设备调试。使用真机设备进行调试前,需要对HAP进行签名后进行调试。详细的调试流程如下图所示&#x…

node.js与express.js创建项目以及连接数据库

搭建项目 一、技术准备 node版本:16.16.0 二、安装node成功后,安装express,命令如下: npm install -g express 或者: npm install --locationglobal express 再安装express的命令工具: npm install --location…

ASP.NET Core 过滤器 使用依赖项注入

过滤器是 ASP.NET Core 中的特殊组件,允许我们在请求管道的特定阶段控制请求的执行。这些过滤器在中间件执行后以及 MVC 中间件匹配路由并调用特定操作时发挥作用。 简而言之,过滤器提供了一种在操作级别自定义应用程序行为的方法。它们就像检查点&#…

JSP仓储管理系统myeclipse定制开发SQLServer数据库网页模式java编程jdbc

一、源码特点 JSP仓储管理系统系统是一套完善的web设计系统,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库 ,系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发,数据库为SQLServer2008&#x…

Java关于Excel文件的导入导出

人生如梦 荣华富贵 如木槿之花 朝荣夕逝 需求 导出: 能够将库表内的数据导出多个Excel表,并且生成一个压缩包,提供用户下载导入: 能够将一个压缩包内的多个Excel表解压,并获取表内的所有数据 FileUtils 工具类 publi…

uniapp多格式文件选择(APP,H5)

uniapp多格式文件选择(APP,H5) 背景实现代码实现运行结果注意事项 尾巴 背景 从手机选择文件进行上传是移动端很常见的需求,在原生开发时由于平台专一性很容易实现。但是用uniapp开发官方提供的API在APP平台只能选择图片和视频&a…

C语言如何理解 c=a,b;?

一、问题 对于表达式 ca,b;和 d(a,b);该如何进⾏理解?它们的值都是怎样的? 二、解答 在C语⾔中,逗号有两个作⽤,⼀是⽤来分隔函数参数,⼆是作为逗号运算符。本题主要考虑的是逗号运算符,根据逗号运算符的规…

第七篇:node中间件详解

🎬 江城开朗的豌豆:个人主页 🔥 个人专栏 :《 VUE 》 《 javaScript 》 📝 个人网站 :《 江城开朗的豌豆🫛 》 ⛺️ 生活的理想,就是为了理想的生活 ! ​ 目录 📘 引言: &#…

nacos启动成功,程序连接失败

问题:nacos服务器启动成功后可以访问,但是程序连接却超时 解决:检查端口,2.0以上的版本需要开放的端口一共是三个!! 8848 9848 9849 找了很久是因为后面两个端口没有开放,原因是因为2.0以上…

控制台的过滤条请求类型被变成下拉选想变成一行

控制台的请求类型被变成下拉选了找到设置---实现----不选Redesign of the filter bar in the Network Panel(重新设计网络面板中的过滤条) 问题如图: 希望是如图: 解决方案: