Um desenvolvedor da Mercedes-Benz vazou acidentalmente uma chave privada, fazendo com que todo o código-fonte da empresa e outras chaves vazassem

As chaves de conexão AWS e Microsoft Azure podem ser usadas para fazer login em servidores Mercedes-Benz hospedados pela AWS e Microsoft, o que pode levar à exposição de mais dados privados.

O desenvolvedor expôs acidentalmente o token no GitHub:

O GitHub permite que os desenvolvedores gerem tokens de autenticação como alternativa às senhas. Os funcionários da Mercedes-Benz expuseram acidentalmente seus tokens em um GitHub público, o que significa que qualquer pessoa que obtiver o token pode acessar diretamente o GitHub Enterprise Server da Mercedes-Benz e baixar todos os dados.

RedHuntLabs navegou alguns dos dados para fins de verificação de segurança e descobriu que eles também continham chaves AWS e Azure, bancos de dados Postgres e outros códigos-fonte da Mercedes.

A empresa de segurança então contatou a Mercedes-Benz para obter feedback por meio do TechCrunch. Após receber o feedback, a Mercedes-Benz confirmou imediatamente o problema e revogou o token, ao mesmo tempo que excluiu todo o repositório que expunha o token.

Não está claro se os dados vazaram:

As varreduras mostram que os funcionários da Mercedes-Benz expuseram acidentalmente seus tokens de autenticação no final de setembro de 2023, o que significa que já se passaram vários meses desde a revogação. Nestes meses, outros hackers irão inevitavelmente escanear os tokens e roubar todos os dados.

Infelizmente, a Mercedes-Benz recusou-se a dizer se sabia que terceiros tinham acesso aos dados expostos, ou se a empresa tinha a capacidade de verificar acessos incomuns aos dados, o que provavelmente exigiria uma revisão completa dos registos dos últimos meses.