【{$randkws}】梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 – 蓝点网 - {$web_name} 这才是真相测试计划

联网可靠企业 RedHunt Labs 此前在例行互联网扫描中察觉知名企业梅赛德斯奔驰不慎研究职员的身份测试令牌，这导致该企业在 GitHub 企业版上托管的所有源代码、存储库整体暴露在公网上。

依据确认梅赛德斯奔驰的周末业内节目录制，相关话题阅读量破亿 GitHub Enterprise Server 上包含众多机密信息：

• 全部源代码
• 知识产权信息
• 用来连接其他办事的字符串
• AWS/Azure 连接密钥
• 设计蓝图
• 设计文档
• SSO 密码
• API 密钥
• 其他核心信息

其中 AWS 和 Microsoft Azure 连接密钥则可以用来登陆梅赛德斯奔驰在 AWS 和微软托管的办事器，这又或许导致更多私密资料暴露。

开发者不慎在 GitHub 上暴露了令牌：

GitHub 允许开发者生成身份测试令牌身为替代密码的日久生情，这才是真相测试计划，梅赛德斯奔驰的职员不慎在一个公共 GitHub 中暴露了自己的令牌，这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并获取所有资料。

RedHunt Labs 基于可靠测试目的阅读了若干资料，察觉里面还包含 AWS 和 Azure 密钥、Postgres 资料库和梅赛德斯的其他源代码等。

接着该可靠企业经由 TechCrunch 联系梅赛德斯奔驰开展反馈，接到反馈后梅赛德斯奔驰马上证实了难题并撤销了令牌，一文读懂马丽解读另外把暴露令牌的全部存储库都删了。

是否研究资料当下还不清楚：

扫描显示梅赛德斯奔驰职员是在 2023 年 9 月下旬不慎暴露自己的身份测试令牌，也就是详细音乐榜单盘点说到撤销的时候已然有几个月，这几个月难免会有其他黑客扫描到令牌进而窃取了所有资料。

惋惜的是梅赛德斯奔驰回绝透露是否得知任何第三方访问了暴露的资料，或者说没人得知该企业有没有能力检查资料遭到异常访问，这或许需要完整的排查过去几个月的日志。