奔驰露私 蓝公司德斯导致点网泄露梅赛码和密钥其他全部者不整个钥 源代开发慎泄
我要评论网络安全公司 RedHunt Labs 日前在例行互联网扫描中发现知名公司梅赛德斯奔驰不慎泄露员工的梅赛密钥身份验证令牌,这导致该公司在 GitHub 企业版上托管的德斯代码所有源代码、存储库全部暴露在公网上。奔驰
根据分析梅赛德斯奔驰的不致整 GitHub Enterprise Server 上包含大量机密内容:
- 整个源代码
- 知识产权内容
- 用来连接其他服务的字符串
- AWS/Azure 连接密钥
- 设计蓝图
- 设计文档
- SSO 密码
- API 密钥
- 其他关键信息
其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器,这又可能导致更多私密数据暴露。慎泄司源
开发者不慎在 GitHub 上暴露了令牌:
GitHub 允许开发者生成身份验证令牌作为替代密码的露私蓝点验证方案,梅赛德斯奔驰的钥导员工不慎在一个公共 GitHub 中暴露了自己的令牌,这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的全部 GitHub Enterprise Server 并下载所有数据。
RedHunt Labs 基于安全验证目的泄露浏览了部分数据,发现里面还包含 AWS 和 Azure 密钥、梅赛密钥Postgres 数据库和梅赛德斯的德斯代码其他源代码等。
随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈,奔驰接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌,不致整同时把暴露令牌的慎泄司源整个存储库都删了。
是露私蓝点否泄露数据目前还不清楚:
扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌,也就是说到撤销的时候已经有几个月,这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。
遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据,或者说没人知道该公司有没有能力检查数据遭到异常访问,这可能需要完整的排查过去几个月的日志。
相关文章
已往,有一条小鱼,它的名字叫”贝贝“。它虽然有许多的朋友,但是,有一日,它突然之间之间之间感到很闷,想跳到外面来看一看。可是它跳得不够高,所以它要去找”鲤鱼(carp)婆婆“,鲤鱼婆婆有一种神奇的魔法2025-10-17
《阳阳师》民圆放出新PV,海潮顺涌版本即将开启,并爆料除新的SP式神骇浪荒川之主即将退场,从速让小编带大年夜家看一看吧。森罗的鬼船自海上压境,挞伐之下,荒川众妖毫无借足之力......四散的硝烟2025-10-17
专注独立!《节拍天牢》开辟商Brace Yourself Games建坐游戏收止部分
游戏开辟商 Brace Yourself Games 颁布收表,现已建坐了一个旗下的齐新游戏收止部分,Brace YourselfPublishing。按照 PocketGamer.biz报导,该公司2025-10-17
大年夜概是每小我皆有一个江湖梦,武侠题材做品,一背深受玩家爱好。正在比去几年以去,没有竭有齐新的武侠类足游推出,但是此中的量量良莠没有齐,很多游戏厂商完整只是奔着圈钱的设法,正在游戏当中真正在没有考虑2025-10-17
除暴战警3是系列最新游戏,也是很多玩家非常关注的,官方表示游戏已经基本完成,但是更多的时间需要花费在优化上面,让玩家能够获得流畅的体验,有兴趣的小伙伴可以关注一下。Crackdown 3《除暴战警3》2025-10-17
《街头霸王6》自几个月前公布了一支先导预报以后,便正在再出公布任何动静了。很多人以为该做将于EVO 2022上周齐表态,但是据着名记者Jeff Grubb的动静,游戏公布的时候能够更早。考虑到比赛的下2025-10-17
最新评论