Mercedes-Benz ha accidentalmente reso pubblici una serie di dati interni dopo aver lasciato online una chiave privata, concedendo un "accesso illimitato" al suo codice sorgente, secondo quanto rilevato da RedHunt Labs, un'azienda di sicurezza informatica.

Shubham Mittal, co-fondatore e CTO di RedHunt Labs, ha comunicato la scoperta a TechCrunch, chiedendo assistenza per informare immediatamente la casa automobilistica. La società di sicurezza informatica ha dichiarato di aver scoperto il token di autenticazione di un dipendente Mercedes in un repository GitHub pubblico durante una scansione Internet di routine a gennaio. Secondo Mittal, questo token, un'alternativa all'utilizzo di una password per l'autenticazione su GitHub, potrebbe garantire a chiunque l'accesso completo al GitHub Enterprise Server di Mercedes, consentendo così il download dei repository di codice sorgente privati ​​dell'azienda.

"Il token GitHub ha fornito accesso 'illimitato' e 'non monitorato' all'intero codice sorgente ospitato sul GitHub Enterprise Server interno", ha spiegato Mittal in un rapporto condiviso da TechCrunch. I repository includono una grande quantità di proprietà intellettualistringhe di connessione, chiavi di accesso al cloud, progetti, documenti di progettazione, password, chiavi API e altre informazioni interne critiche"

La conferma ufficiale è giunta da Katja Liesenfeld, portavoce di Mercedes, che ha dichiarato che l'azienda ha prontamente revocato il token API coinvolto e rimosso immediatamente il repository pubblico. Liesenfeld ha sottolineato l'impegno prioritario di Mercedes per la sicurezza e ha annunciato che l'incidente sarà oggetto di ulteriori analisi e correzioni (ecco l'elenco delle Mercedes che usciranno nel 2024).

Nonostante la revoca del token, non è chiaro se altri individui abbiano individuato la chiave esposta, la quale era stata pubblicata alla fine di settembre 2023 e che potrebbe aver conseguentemente portato a una fuga di dati (e nel caso quali dati). Mercedes, inoltre, ha rifiutato di confermare se terze parti abbiano avuto accesso ai dati esposti e se la società sia in grado di identificare eventuali accessi impropri attraverso i registri di accesso, citando motivi di sicurezza non specificati.

Questa situazione è simile, seppur molto più grave alla falla lasciata da Tesla dentro le sue vetture: nel tentativo di risolvere un bug interno, la casa californiana ha "rotto" il sistema di autopilot. Questo episodio sottolinea l'importanza critica della sicurezza dati nel settore automobilistico e richiama l'attenzione su una gestione più attenta delle informazioni sensibili online.