Mercedes-Benz vô tình để lộ cả bí mật kinh doanh lẫn mã nguồn phần mềm xe hơi

P.W
2/2/2024 11:45Phản hồi: 43
Mercedes-Benz vô tình để lộ cả bí mật kinh doanh lẫn mã nguồn phần mềm xe hơi
Đơn vị nghiên cứu bảo mật có trụ sở tại Anh Quốc, RedHunt Labs vừa phát hiện ra, một nhân viên của Mercedes-Benz đã vô tình làm lộ token xác thực tài khoản trên thư viện GitHub. Với token xác thực này, hoàn toàn có thể đăng nhập một cách thoải mái vào máy chủ bảo mật của hãng xe Đức, từ đó truy xuất trái phép những bí mật kinh doanh cũng như nhiều thông tin quan trọng khác.

RedHunt phát hiện ra token xác thực này thông qua một đợt quét và kiểm tra những cơ sở dữ liệu công khai hồi tháng 1. Nhưng họ phát hiện ra rằng token xác thực của nhân viên Mercedes-Benz đã vô tình bị lộ suốt từ tháng 9/2023. Chỉ cần token này, GitHub Enterprise Server của Mercedes-Benz thuê và vận hành sẽ rơi vào tay của bất kỳ ai có ý đồ xâm nhập máy chủ.

Trong đó, là những tài liệu bản quyền sở hữu trí tuệ, bản thiết kế, cùng rất nhiều thông tin được coi là bí mật kinh doanh của hãng xe. Cùng với đó, cũng trên máy chủ doanh nghiệp mà Mercedes-Benz sử dụng trên GitHub, là key đăng nhập máy chủ đám mây, API key, và rất nhiều mật khẩu. Những kẻ có ý đồ xấu hoàn toàn có thể sử dụng những thông tin này để phá hoại quy trình vận hành và kinh doanh của hãng.

Đáng lo ngại hơn, theo đồng sáng lập RedHunt Labs, Shubham Mittal cho biết, có bằng chứng Mercedes-Benz đã bị lộ cả key xác thực đăng nhập những máy chủ Microsoft Azure và Amazon Web Services, cùng cơ sở dữ liệu Postgres, và thậm chí là cả mã nguồn phần mềm vận hành hệ thống điện tử trong những chiếc xe Mercedes. Phần nào may mắn là những máy chủ có thể đăng nhập bằng token xác thực vô tình bị lộ hoàn toàn không chứa dữ liệu cá nhân của khách hàng Mercedes-Benz.

Sau khi RedHunt chia sẻ thông tin này với TechCrunch, thì Mercedes-Benz cũng đã được thông báo. Người phát ngôn hãng xe Đức xác nhận token xác thực đã bị vô hiệu hóa. Hiện chưa có bằng chứng cho thấy sơ hở nghiêm trọng của nhân viên hãng xe bị những tội phạm công nghệ cao lợi dụng để làm hại tới quá trình kinh doanh của hãng xe.

Theo Techspot
43 bình luận
Chia sẻ

Xu hướng

Các ông nghĩ là lộ, nhưng nghĩ ngược lại là chiến thuật thì sao?
@sốt-siêu-vi-sốt-phát-ban-2024 Càng lớn càng khó kiểm soát thông tin đó chứ mà không dễ bị lộ Merc là tập đoàn xe hơi chứ không phải CNTT. Tuyển đầu vào kiến thức bảo mật không phải là kĩ năng quan trọng,
@NgoHongMinh9981 Xe ngon là dc bạn nhỉ, nhiều khi cố tình lộ để ng mua xe chờ đợi đó, mình đang đợi 1 dòng xe của 2025 đây, xe xăng, éo phải xe vịn đâu
@Thiên biến vạn hoá Thì làm sao? Xe vẫn cứ ngon, khách hàng vẫn đông, tôi đố ông nào sao chép dc đấy, nó đánh bản quyền chết. Đến như khựa còn k dám ăn cắp của nó, mĩ nó cũng chỉ chờ khựa nó ăn cắp về động cơ là nó có cớ cấm vận ngay
@sốt-siêu-vi-sốt-phát-ban-2024 Chiến thuật cả
lại thằng thực tập sinh nào rồi 🤣
cothach
TÍCH CỰC
2 tháng
@dasklney Thằng tổng tài thiếu chủ gì đó say con trợ lý thực tập nghèo nhưng tự trọng nên ko bán bí mật cho bên đối thủ
@dasklney tập đoàn mình cũng từng có vụ như này, còn tên xin phép k nói 😆
@vqt907 Dạ bạn, không nói thì ko tồn tại rồi bạn. Kể cả bạn có nói thì cũng có kiểm chứng được đâu.
@vqt907 kỹ sư nhưng ko có kiến thức bảo mật vẫn bị như thường.
Sao hãng lớn vậy ko tự xây máy chủ nhỉ? Thuê thì rẻ hơn nhiều rồi nhưng mà hãng to thì tự làm cho oách chứ nhỉ
@nguyenlinh712 chắc cũng đầu tư nữa chứ ko chỉ thuê
@Thiên biến vạn hoá Làm như cái Sever bảo mật dễ lắm. Không phải công ty công nghệ thì càng dễ bị hack..
Ví dụ đơn giản new dùng Sever riêng công ty. Những nước xa xôi như Đông Nam Á công nghệ internet đủ loại hacker bất ổn đường truyền có dám chắc đường truyền tín hiệu ngon bằng máy chủ thuê ?
@Thiên biến vạn hoá tự xây dựng thi đầu tư ban đầu, quản lý vận hành rất phức tạp và tốn kém.Mercedes có hàng trăm văn phòng trên thế giới, mỗi nơi một cái data center thì quản lý vô cùng mệt mỏi.
sentino
ĐẠI BÀNG
2 tháng
@Thiên biến vạn hoá Làm chuyên thì tốt hơn là ôm đồm chứ bạn.
Các pháp sư đã xem
Kaka38
ĐẠI BÀNG
2 tháng
Mình nghĩ dữ liệu quan trọng chẳng ai đưa lên các dịch vụ Public Cloud đâu
TuanHanu
TÍCH CỰC
2 tháng
@Kaka38 Do sơ suất của nhân viên thôi, quy định tất nhiên là không cho rồi
@Kaka38 Đúng
@Kaka38 trừ dữ liệu an ninh, quốc phòng, mọi thứ đẩy lên cloud cho thuận tiện.
Kaka38
ĐẠI BÀNG
2 tháng
@Man Sinh Lee Bạn nghĩ doanh nghiệp sẽ chấp nhận rủi ro về bảo mật để đổi lấy sự thuận tiện sao?
Cowboyz
TÍCH CỰC
2 tháng
Token có giá trị bao lâu? Cùng lắm 2 phút. Hệ thống bảo mật nào cho token cả nửa năm như vậy?
@Cowboyz chắc đang nói Personal Access Token đó bác
@Cowboyz bạn set expiration được mà
Winfat đã xem…..
Anonymox
TÍCH CỰC
2 tháng
bọn Mer đúng chả phải bên chuyên làm phần mềm. Chả ai lại đi lưu key bảo mật, mật khẩu trên Github cả, đấy chỉ là nơi tốt nhất để chứa code thôi
@Anonymox cấp quyền lỏng thôi
@bsd insight cái cty mình cấp quyền cho cả sys còn phải 1 tháng hết hạn lần, sys manager cũng chỉ đc 3 tháng, đây để nguyên cả năm.bó tay
Nv tên gì vậy??? Peter Chang hay David Zhong 🤣
chắc là bị lộ SSH private key nên kéo hết được repo github về chăng 😆)
Doanh số ko như kì vọng nên cần tạo cú hích về mkt thôi ...lộ cái j mà lộ 😆
@Bão Sài Gòn giỡn chơi bạn. bị lộ dữ liệu là ăn hành với luật bảo vệ dữ liệu của EU. Nó phạt vỡ mồm ấy.

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019