梅賽德斯奔馳開發(fā)者不慎泄露私鑰 導(dǎo)致整個(gè)公司源代碼和其他密鑰全部泄露 – 藍(lán)點(diǎn)網(wǎng)

2025-11-22 10:36:42 分類：綜合 閱讀(2851)

網(wǎng)絡(luò)安全公司 RedHunt Labs 日前在例行互聯(lián)網(wǎng)掃描中發(fā)現(xiàn)知名公司梅賽德斯奔馳不慎泄露員工的梅賽密鑰身份驗(yàn)證令牌，這導(dǎo)致該公司在 GitHub 企業(yè)版上托管的德斯代碼所有源代碼、存儲(chǔ)庫全部暴露在公網(wǎng)上。奔馳成都美女快餐外圍上門外圍女（電話微信180-4582-8235）提供1-2線熱門城市快速安排30分鐘到達(dá)

根據(jù)分析梅賽德斯奔馳的不致整 GitHub Enterprise Server 上包含大量機(jī)密內(nèi)容：

• 整個(gè)源代碼
• 知識(shí)產(chǎn)權(quán)內(nèi)容
• 用來連接其他服務(wù)的字符串
• AWS/Azure 連接密鑰
• 設(shè)計(jì)藍(lán)圖
• 設(shè)計(jì)文檔
• SSO 密碼
• API 密鑰
• 其他關(guān)鍵信息

其中 AWS 和 Microsoft Azure 連接密鑰則可以用來登錄梅賽德斯奔馳在 AWS 和微軟托管的服務(wù)器，這又可能導(dǎo)致更多私密數(shù)據(jù)暴露。慎泄司源

開發(fā)者不慎在 GitHub 上暴露了令牌：

GitHub 允許開發(fā)者生成身份驗(yàn)證令牌作為替代密碼的露私藍(lán)點(diǎn)驗(yàn)證方案，梅賽德斯奔馳的鑰導(dǎo)員工不慎在一個(gè)公共 GitHub 中暴露了自己的令牌，這意味著任何人拿到這個(gè)令牌后都可以直接訪問梅賽德斯奔馳的全部 GitHub Enterprise Server 并下載所有數(shù)據(jù)。

RedHunt Labs 基于安全驗(yàn)證目的泄露瀏覽了部分?jǐn)?shù)據(jù)，發(fā)現(xiàn)里面還包含 AWS 和 Azure 密鑰、梅賽密鑰成都美女快餐外圍上門外圍女（電話微信180-4582-8235）提供1-2線熱門城市快速安排30分鐘到達(dá)Postgres 數(shù)據(jù)庫和梅賽德斯的德斯代碼其他源代碼等。

隨后該安全公司通過 TechCrunch 聯(lián)系梅賽德斯奔馳進(jìn)行反饋，奔馳接到反饋后梅賽德斯奔馳立即確認(rèn)了問題并撤銷了令牌，不致整同時(shí)把暴露令牌的慎泄司源整個(gè)存儲(chǔ)庫都刪了。

是露私藍(lán)點(diǎn)否泄露數(shù)據(jù)目前還不清楚：

掃描顯示梅賽德斯奔馳員工是在 2023 年 9 月下旬不慎暴露自己的身份驗(yàn)證令牌，也就是說到撤銷的時(shí)候已經(jīng)有幾個(gè)月，這幾個(gè)月難免會(huì)有其他黑客掃描到令牌進(jìn)而竊取了所有數(shù)據(jù)。

遺憾的是梅賽德斯奔馳拒絕透露是否知道任何第三方訪問了暴露的數(shù)據(jù)，或者說沒人知道該公司有沒有能力檢查數(shù)據(jù)遭到異常訪問，這可能需要完整的排查過去幾個(gè)月的日志。