GitHubトークンの誤操作により、Mercedes-Benz社内のGitHub Enterprise Serviceに無制限にアクセス可能となり、ソースコードが一般に公開されるという異常事態が起きてしまったことが判明した。

英国を拠点とするセキュリティ企業RedHunt Labsは最近、Mercedes-Benzの従業員が所有する認証トークンを発見した。RedHuntの共同設立者であるShubham Mittal氏が述べているように、このトークンはGitHubの公開リポジトリにホストされており、これを悪用してMercedes-Benzの企業秘密やその他の重要な認証情報に「無制限にアクセス」できた可能性があるという。

RedHunt社は、1月にインターネットを定期的にスキャンしていた際に、暴露された認証トークンを特定したが、トークン自体は2023年9月に公開されていた。秘密鍵を使用することで、悪意のあるアクターやサイバー犯罪者はMercedes-Benzが所有するGitHub Enterprise Serverへのフルアクセスを得ることができた。このサーバーに保存されていたデータの量と機密性は、まさに驚異的なものだった。

GitHubトークンは、設計図、設計文書、その他の「重要な」内部情報を含む、大量のMercedes-Benzの知的財産ファイルへの「無制限」かつ「監視されない」アクセスを提供していた。Mittal氏は、このサーバーにはクラウドアクセスキー、APIキー、追加パスワードも保管されており、これらを悪用すれば自動車メーカー全体のITインフラを混乱させ、前例のない混沌とした状況を作り出すことができたと強調した。

さらに悪いことに、Mittal氏は、安全でないリポジトリから、Microsoft AzureとAmazon Web Services（AWS）サーバーのキー、Postgresデータベース、さらにはMercedes-Benzのソフトウェアのソースコードまでもが公開されていることを（証拠付きで）確認した。セキュリティ研究者によると、影響を受けたサーバーに顧客データはホストされていなかったようだ。

RedHuntは、TechCrunchにこのセキュリティ・インシデントの詳細を伝え、TechCrunchはMercedes-Benzにこの問題を開示した。Mercedes-Benzの広報担当者はすぐに、制限のないAPIトークンが取り消され、公開リポジトリが “直ちに”削除されたことを確認した。

Mercedes-Benzの広報担当者は、「内部ソースコードが、人為的なミスにより誤ってGitHubの公開サーバーに公開されてしまった」と、述べ、内部調査は現在も継続中で、それに応じて追加の「改善措置」が実施される予定であることを告げている。

監視されていなかったトークンは数カ月にわたって一般公開されていたが、これまでのところ、悪意のある行為者やサイバー犯罪者がその秘密を発見し、悪用してMercedes-Benzのビジネスを侵害したという証拠はない。同社は、アクセスログやその他のセキュリティ対策によって、同社システムへの未知のアクセス試行を検知できたかどうかについては確認していない。

Sources

• RedHunt Labs: Mercedes-Benz Source Code at Risk: GitHub Token Mishap Sparks Major Security Concerns
• via TechCrunch: How a mistakenly published password exposed Mercedes-Benz source code