Un jeton GitHub mal géré a donné un accès illimité au service interne GitHub Enterprise de Mercedes-Benz, exposant le code source au public.
Mercedes-Benz est un prestigieux constructeur allemand de voitures, d’autobus et de camions reconnu pour sa riche histoire d’innovation, ses designs luxueux et sa qualité de fabrication supérieure.
Comme de nombreux constructeurs automobiles modernes, la marque utilise des logiciels dans ses véhicules et services, notamment des systèmes de sécurité et de contrôle, d’infodivertissement, de conduite autonome, d’outils de diagnostic et de maintenance, de connectivité et de télématique, ainsi que de gestion de l’énergie électrique et de la batterie (pour les véhicules électriques).
Le 29 septembre 2023, des chercheurs de RedHunt Labs ont découvert un jeton GitHub dans un référentiel public appartenant à un employé de Mercedez qui donnait accès au serveur interne GitHub Enterprise de l’entreprise.
« Le jeton GitHub donnait un accès » illimité » et « non surveillé » à l’intégralité du code source hébergé sur le serveur interne GitHub Enterprise », lit-on dans le rapport de RedHunt Labs.
« L’incident a mis à nu des référentiels sensibles abritant une multitude de propriétés intellectuelles, et les informations compromises comprenaient des chaînes de connexion à la base de données, des clés d’accès au cloud, des plans, des documents de conception, des mots de passe SSO, des clés API et d’autres informations internes critiques. »
Comme les chercheurs l’ont expliqué, les conséquences de l’exposition publique de ces données peuvent être graves.
Les fuites de code source peuvent amener les concurrents à rétroconcevoir une technologie propriétaire ou des pirates informatiques à l’examiner pour détecter d’éventuelles vulnérabilités dans les systèmes des véhicules.
De plus, l’exposition des clés API pourrait entraîner un accès non autorisé aux données, une interruption de service et un abus de l’infrastructure de l’entreprise à des fins malveillantes.
RedHunt Labs mentionne également la possibilité de violations légales, telles que la violation du RGPD, dans le cas où les référentiels exposés contenaient des données client. Cependant, les chercheurs n’ont pas validé le contenu des fichiers exposés.
RedHunt, avec l’aide de TechCrunch, a informé Mercedes-Benz de la fuite de jetons le 22 janvier 2024 et l’a révoquée deux jours plus tard, bloquant l’accès à toute personne la détenant et en abusant.
Cet incident ressemble à un incident de sécurité de Toyota d’octobre 2022, lorsque le constructeur automobile japonais a révélé que les informations personnelles des clients étaient restées accessibles au public pendant cinq ans en raison d’une clé d’accès GitHub exposée.
Ces incidents ne génèrent des preuves d’exploitation malveillante que si les propriétaires des instances GitHub Enterprise ont activé les journaux d’audit, qui incluent généralement des adresses IP.
Breachtrace a contacté Mercedes-Benz pour savoir s’ils avaient vu des signes d’accès non autorisé sur leur serveur GitHub, et nous avons reçu la réponse suivante:
Nous pouvons confirmer que le code source contenant un jeton d’accès interne a été publié sur un référentiel GitHub public par erreur humaine.
Ce jeton donnait accès à un certain nombre de référentiels, mais pas à l’intégralité du code source hébergé sur le serveur interne GitHub Enterprise.
Nous avons révoqué le jeton respectif et supprimé immédiatement le référentiel public. Les données des clients n’ont pas été affectées comme le montre notre analyse actuelle.
Nous continuerons à analyser ce cas selon nos procédures normales. – Mercedes-Benz Plus
Le constructeur automobile a déclaré à Breachtrace qu’il ne souhaitait pas partager les détails techniques de l’incident pour des raisons de sécurité, il n’est donc pas clair s’il a détecté un accès non autorisé ou non.
En outre, la société a déclaré qu’elle était disposée à travailler avec des chercheurs du monde entier et qu’elle acceptait les rapports de sécurité via son programme de divulgation des vulnérabilités.