Súlyos adatvédelmi incidens történt a Mercedesnél. A német autógyár egyik alkalmazottja egy igen komoly hibát követett el, mellyel a Mercedes több forráskódja is illetéktelen kezekbe kerülhetett – mutat rá RedHunt Labs jelentése.

A cég munkavállalója egy nyilvános GitHub-adatbázisba töltötte fel a saját hitelesítő tokenjét. Ez utóbbit úgy érdemes elképzelni, mint kulcsot egy széfen lévő zárhoz – ez a token jelen esetben is fontos, belső hálózaton elzárt céges adatokhoz biztosított hozzáférést. Bárki, aki ezt a tokent észrevette, könnyedén bejuthatott a Mercedes GitHub Enterprise szerverére, ahol a szigorúan bizalmas céges dolgokat tárolják. Ez nagyjából akkora baklövés, mintha egy többpontos biztonsági ajtó kulcsai a lábtörlőn lennének.

A szerveren számos érzékeny forráskódot tárolt a Mercedes, és a token korlátlan hozzáférést adott mindezekhez. Kritikus belsős információk, tervrajzok, felhők hozzáférési kulcsai – csak néhány dolog, amit egy ekkora nagyvállalat nagyon nem szeretne nyilvánosan viszontlátni. Pedig a Mercedesnél ezekhez is hozzá lehetett férni, ha hozzá értő kezekbe került a hitelesítő token.

Gyártási titkokat lophatott a világ egyik legnagyobb chipgyártó-beszállítójától egy munkavállaló Kínában

Az ASML nevű vállalat termékeit olyan nagy nevek gyártják, mint az Intel vagy a TSMC - most egy volt kínai munkatárs nem tisztázott információkat lophatott a cégtől, mely egyébként már nem exportálhatja bizonyos termékeit Kínának.

Az esetet ismertető TechCrunch értesítette a Mercedest – az autógyártól nem sokkal később azt a választ kapták, hogy azonnali hatállyal visszavonták a problémás tokent, ahogyan a kapcsolódó adatbázist is rögtön felszámolták.

Katja Liesenfeld, a cég szóvivője elismerte az adatszivárgást, amelyről megerősítette, hogy emberi hiba miatt történt. Az eset elemzése még tart. Azt nem tudni, hogy a nyilvánosan elérhető tokent mások is felfedezték-e.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.