近日，RedHunt 實驗室的研究人員發現，梅賽德斯-奔馳無意中留下了可在線訪問的私鑰，從而暴露了內部數據，包括公司的源代碼。目前尚不清楚數據泄露是否暴露了客戶數據。

RedHunt Labs 與 TechCrunch 分享了其調查結果，並在媒體的幫助下通知了汽車制造商。該安全公司發現，屬于梅賽德斯員工的身份驗證令牌暴露在公共 GitHub 存儲庫中。這一發現是在一月份的例行互聯網掃描中發現的。

所披露的令牌有可能提供對梅賽德斯 GitHub Enterprise Server 的不受限制的訪問，使任何人都可以檢索該公司的私有源代碼存儲庫。

RedHunt Labs 聯合創始人兼首席技術官 Shubham Mittal 告訴 TechCrunch：“GitHub 令牌可以‘不受限制’和‘不受監控’地訪問托管在內部 GitHub Enterprise Server 上的整個源代碼。這些存儲庫包含大量知識産權……連接字符串、雲訪問密鑰、藍圖、設計文檔、[單點登錄]密碼、API 密鑰和其他關鍵內部信息。”

米塔爾向 TechCrunch 提供了證據，驗證Microsoft Azure和 Amazon Web Services (AWS) 憑證、Postgres 數據庫以及 Mercedes 源代碼的存在

暴露的存儲庫包括 Microsoft Azure 和 Amazon Web Services (AWS) 憑證、Postgres 數據庫和 Mercedes 源代碼。

一旦梅賽德斯意識到數據泄露，它就撤銷了暴露的令牌並刪除了公共存儲庫。

TechCrunch 周一向梅賽德斯披露了這一安全問題。周三，梅賽德斯發言人 Katja Liesenfeld 證實，該公司“立即撤銷了相應的 API 令牌並刪除了公共存儲庫”。

梅賽德斯發言人 Katja Liesenfeld 告訴 TechCrunch：“我們可以確認內部源代碼是由于人爲錯誤而發布在公共 GitHub 存儲庫上的。” “我們的組織、産品和服務的安全是我們的首要任務之一。” “我們將繼續按照正常流程分析此案。我們將據此采取補救措施。”

對此次泄露事件的調查顯示，自2023年9月下旬以來一直在網上曝光。然而，目前尚不清楚其他參與者是否未經授權訪問了該汽車制造商的數據。

梅賽德斯拒絕透露是否知道任何第三方訪問了暴露的數據，或者該公司是否擁有技術能力（例如訪問日志）來確定是否存在對其數據存儲庫的任何不當訪問。發言人援引了未具體說明的安全原因。