Recientemente, nos enteramos de que en septiembre de 2023, Mercedes-Benz enfrentó un grave problema de seguridad cuando un token de GitHub mal gestionado expuso su código fuente interno. Este incidente, descubierto por RedHunt Labs, reveló una cantidad significativa de propiedad intelectual de la empresa, incluyendo cadenas de conexión a bases de datos, claves de acceso a la nube, planos, documentos de diseño, contraseñas de inicio de sesión único (SSO), claves API y otra información interna crítica.
El token de GitHub proporcionó «acceso ilimitado» y «sin supervisión» al servidor interno de GitHub Enterprise de Mercedes-Benz, lo que significó un riesgo considerable para la seguridad de la empresa. La filtración del código fuente podría permitir a los competidores ingeniería inversa en la tecnología patentada o a los hackers buscar vulnerabilidades en los sistemas de los vehículos. Además, la exposición de claves API podría conducir a accesos no autorizados a datos, interrupciones del servicio y abuso de la infraestructura de la empresa para fines maliciosos.
Respuesta de Mercedes-Benz
La compañía fue informada sobre la fuga del token el 22 de enero de 2024 por RedHunt Labs, con la ayuda de TechCrunch, y revocó el token dos días después, bloqueando el acceso a cualquier persona que lo estuviera utilizando de manera indebida. La empresa confirmó que el código fuente que contenía un token de acceso interno fue publicado en un repositorio público de GitHub por error humano. Aseguraron que el token daba acceso a un número determinado de repositorios, pero no al código fuente completo alojado en el servidor interno de GitHub Enterprise. Mercedes-Benz también afirmó que los datos de los clientes no se vieron afectados, según su análisis actual.
Este incidente tiene similitudes con un fallo de seguridad de Toyota en octubre de 2022, cuando revelaron que la información personal de los clientes estuvo accesible públicamente durante cinco años debido a una clave de acceso de GitHub expuesta. Estos incidentes resaltan la importancia de activar registros de auditoría en las instancias de GitHub Enterprise, que típicamente incluyen direcciones IP, para generar evidencia de explotación maliciosa.
