Mercedes-Benz, un token GitHub compromesso l’ha esposta a una grave falla (per colpa di un dipendente)

9 months ago 220

Il marchio di Stoccarda ha rischiato di subire una rilevante fuga di dati riservati. Un repository GitHub pubblico conteneva il codice di autenticazione di un dipendente.

A seguito di una scansione Internet di routine, la società di sicurezza informatica RedHunt Labs ha dichiarato di aver scoperto il token di autenticazione di un dipendente di Mercedes-Benz all’interno di un repository GitHub pubblico. Entrando nello specifico, il token GitHub difettoso avrebbe potuto fornire accesso illimitato e non monitorato all’intero codice sorgente ospitato sul GitHub Enterprise Server interno. Con tutte le gravi conseguenze del caso.

Attacchi informatici e responsabilità è dei dipendenti

Gli esperti delucidano che i repository – all’interno dei quali sono custoditi una rilevante quantotà di proprietà intellettuali, stringhe di connessione, chiavi di accesso al cloud, progetti, documenti di progettazione, password, API key e altre informazioni interne sensibili – con le chiavi dei servizi cloud Microsoft Azure e Amazon Web Services, ma anche il database Postgres interno e i codici sorgente dei sistemi Mercedes, erano aperti al pubblico. “Disponibili” da settembre 2023.

Confermando che la responsabilità della fuga dei dati va ascritta a un suo dipendente, la casa automobilistica tedesca ha immediatamente revocato il token compromesso e chiuso il repository. La direzione della casa automobilistica tedesca garantisce che la protezione dei dati riservati, nonché dei prodotti e dei servizi dell’azienda, rappresenta la sua massima priorità. Intanto, ha avviato un’indagine interna su quanto è accaduto. Sulla base dei risultati acquisiti, Mercedes adotterà ulteriori misure di sicurezza per prevenire, in futuro, problematiche di questo tipo.

Ferrari colpita da un attacco ransomware

Un episodio, questo, che evidenzia – semmai ce ne fosse bisogno – l’importanza critica relativa alla sicurezza dei dati nel comparto automobilistico, richiedendo ulteriore attenzione su una gestione più scrupolosa delle informazioni sensibili online. La mente torna all’incidente di sicurezza informatica per la Ferrari: il 20 marzo 2023 la Casa automobilistica italiana ha comunicato di aver subito il furto di alcuni dati di contatto dei propri clienti (che sono stati immediatamente informati dell’accaduto) ed una richiesta di riscatto, subito respinta. Nell’occasione, la Ferrari ha avviato un’indagine in collaborazione con una società di cybersicurezza leader a livello mondiale, oltre ad informare le autorità preposte.

Non è stata la prima volta che la Ferrari ha subìto un attacco informatico. Nell’ottobre, la cybergang Everest aveva colpito la Speroni spa, azienda che fornisce componentistica per le auto sportive, arrivando a pubblicare e mettere in vendita dati e progetti di Ferrari, Lamborghini e Maserati, ma non era stata colpita l’infrastruttura informatica della casa del Cavallino rampante fondata da Enzo Ferrari.

In uno statement inviato a Cybersecurity Italia, l’ufficio stampa di Ferrari si diceva “consapevole del fatto che alcuni media hanno segnalato la possibile perdita di informazioni da parte di Ferrari e la presenza di alcuni documenti online”. Per poi puntualizzare: “Non c’è alcuna evidenza di una violazione dei propri sistemi o di ransomware” e “non c’è stata alcuna interruzione del proprio business e dell’operatività”.

Read Entire Article