Güvenlik uzmanları, bu durumun basit bir insan hatasından kaynaklandığını belirtiyor.
Alman otomotiv devi Mercedes-Benz, bir güvenlik zaafiyeti sonucu GitHub platformunda ticari sırlarını ve kaynak kodunu paylaştı. İngiltere merkezli güvenlik şirketi RedHunt Labs'ın rutin bir tarama sırasında keşfettiği bu durum, önemli bir güvenlik açığına işaret ediyor.
RedHunt Labs'ın kurucu ortağı Shubham Mittal, GitHub'da bulunan bir kimlik doğrulama belirtecinin kötü niyetli kişiler tarafından kullanılarak Mercedes-Benz'in ticari sırlarına sınırsız erişim sağlayabileceğini belirtti. Bu belirteç, Eylül 2023'te yayınlanmış olmasına rağmen, ocak ayında yapılan bir tarama sırasında tespit edildi.
GitHub depolama sunucusundaki verilerin hacmi ve hassasiyeti dikkat çekici. Bu belirteç, planlar, tasarım belgeleri ve diğer kritik içeriklere sınırsız erişim sağlayarak Mercedes-Benz'in fikri mülkiyetine yönelik ciddi bir risk oluşturuyordu.
RedHunt Labs, aynı sunucuda bulunan bulut erişim anahtarları, API anahtarları ve ek şifrelerin Mercedes-Benz'in genel BT altyapısını tehlikeye atabileceğini vurguladı. Ancak, olası kötü niyetli kullanım için henüz kanıt bulunmuyor.
Mercedes-Benz, durumu kısa sürede fark ederek kimlik doğrulama belirtecini iptal etti ve ilgili GitHub deposunu halka kapattı. Şirket, yaşanan olayın bir insan hatası sonucu olduğunu ve müşteri verilerinin etkilenmediğini belirtti. Bu durum, şirket içi güvenlik protokollerinin gözden geçirilmesi gerekliliğini de ortaya koymuş oldu.

Kaynak: Haber merkezi