奔驰GitHub私钥外泄 完整源代码和机密数据泄露

梅赛德斯-奔驰由于没有妥善处理 GitHub 私钥，导致外界可不受限制地访问内部 GitHub 企业服务，而且整个源代码都被泄露出来。

梅赛德斯-奔驰（Mercedes-Benz）是德国知名的汽车、巴士和卡车制造商，以其丰富的创新历史、豪华的设计和一流的制造质量而闻名于世。

奔驰和很多其它车企一样，开发包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理，以及电力和电池管理（电动汽车）等系统。

事情起因是 RedHunt 实验室的研究人员于 2023 年 9 月 29 日搜索时候，在属于 Mercedez 员工的公共仓库中发现了一个 GitHub 私钥，该私钥可访问公司内部的 GitHub 企业服务器。

RedHunt 实验室的报告指出，利用该 GitHub 思考，可以“不受限制”和“不受监控”地访问托管在内部 GitHub 企业服务器上的全部源代码。

这次事件暴露了存放大量知识产权的敏感存储库，被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。

正如研究人员解释的那样，公开暴露这些数据的后果可能很严重。源代码泄露可能导致竞争对手对专有技术进行反向工程，或黑客对其进行仔细检查，以发现汽车系统中的潜在漏洞。

此外，API 密钥的暴露还可能导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。

RedHunt Labs 还提到，如果被暴露的存储库中包含客户数据，就有可能触犯 GDPR 等法律 。不过，研究人员尚未验证被暴露文件的内容。

在 TechCrunch 的帮助下，RedHunt 于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露的情况，奔驰在两天后撤销了私钥，阻止了任何持有和滥用该私钥的人访问。

这一事件类似于 2022 年 10 月发生的丰田汽车安全事故，当时这家日本汽车制造商披露，由于 GitHub 访问密钥被暴露，客户个人信息在五年的时间里仍可被公开访问。