El 29 de septiembre de 2023, ocurrió un importante incidente de seguridad en Mercedes-Benz, un reconocido fabricante de automóviles alemán.
Un incidente de mal manejo de un token de GitHub resultó en un acceso no restringido al servidor interno de GitHub de la empresa, exponiendo código fuente crítico al público. Este artículo profundiza en los detalles del incidente, sus posibles consecuencias y las acciones posteriores tomadas por la compañía.
Descubrimiento y Exposición
Investigadores de RedHunt Labs descubrieron un token de GitHub en un repositorio público vinculado a un empleado de Mercedes, otorgando acceso no supervisado a todo el código fuente alojado en el servidor interno de GitHub Enterprise.
Los repositorios expuestos contenían información sensible, incluidas cadenas de conexión de bases de datos, claves de acceso a la nube, planos, documentos de diseño, contraseñas de SSO, claves de API y otros datos internos cruciales.
Implicaciones y Consecuencias
Las repercusiones de una brecha de este tipo son graves. Las filtraciones de código fuente exponen la tecnología patentada, abriendo vías para la ingeniería inversa por parte de competidores o la explotación por parte de hackers maliciosos.
Además, la exposición de claves de API puede llevar a un acceso no autorizado a datos, interrupciones del servicio y abuso de la infraestructura de la empresa con fines maliciosos.
También podría surgir la preocupación por violaciones legales, como infracciones de GDPR, si entre los archivos expuestos se encontraran datos de clientes.
Respuesta al Incidente
Al descubrir la filtración del token el 22 de enero de 2024, RedHunt Labs, con la asistencia de TechCrunch, informó rápidamente a Mercedes-Benz.
La compañía actuó con rapidez al revocar el token dos días después, bloqueando cualquier posible abuso. Mercedes-Benz confirmó el incidente y declaró que, según su análisis, los datos de los clientes no se vieron afectados.
Incidentes Similares y Lecciones Aprendidas
Este incidente guarda similitudes con un problema de seguridad en Toyota en octubre de 2022, donde la información personal de los clientes permaneció públicamente accesible debido a una clave de acceso de GitHub expuesta.
Ambos casos subrayan la importancia de medidas de seguridad sólidas y la activación de registros de auditoría en instancias de GitHub Enterprise para rastrear posibles actividades maliciosas.