Der Automobilhersteller Mercedes-Benz bestätigte, dass der interne Quellcode durch die unbeabsichtigte Veröffentlichung eines internen Tokens offengelegt wurde.
API-Schlüssel öffentlich einsehbar
Das Unternehmen Mercedes-Benz war kürzlich von einer Datenpanne betroffen, als es versehentlich einen privaten Schlüssel online stellte, der den uneingeschränkten Zugriff auf den Quellcode der Software ermöglichte.
Dazu musste kein Passwort geknackt und auch kein Schutz umgegangen werden: der Schlüssel war für jeden öffentlich einsehbar, bis jemand den Vorfall an Mecerdes meldete. Das Unternehmen hatte den Authentifizierungs-Token eines Mitarbeiters in einem öffentlichen GitHub-Repository hinterlassen, wodurch jeder auf den GitHub Enterprise Server von Mercedes zugreifen und private Quellcode-Repositories herunterladen konnte.
Die offengelegten Repositories enthielten sensible Informationen wie geistiges Eigentum, Cloud-Zugangsschlüssel und API-Schlüssel. Ein Angreifer kann diese Informationen nutzen, um beispielsweise Exploits oder Backdoors zu konstruieren, welche als Werkzeug für weitere Angriffe genutzt werden.
Wie Mercedes reagierte
Mercedes wurde im Rahmen des Responsible Disclosure-Prozesses auf das Problem aufmerksam gemacht, woraufhin der Automobilhersteller den API-Token sofort widerrief und das öffentliche Repository entfernte. Nach öffentlichen Angaben hat Mercedes bisher nicht bestätigt, ob Kundendaten kompromittiert wurden und hat keine Informationen über den Zugriff Dritter auf die offengelegten Daten bereitgestellt.
Dieser Vorfall erinnert nicht nur daran, wie wichtig robuste Cybersicherheitsmaßnahmen sind, um die sensiblen Daten von Unternehmen zu schützen, sondern auch daran, wie wichtig eine verantwortungsvolle Offenlegung ist, um schnell auf solche Probleme zu reagieren.
Responsible Disclosure als schneller Lösungsweg
Responsible Disclosure ist die verantwortungsvolle Aufdeckung und Meldung von Sicherheitsproblemen, die in Deutschland noch immer kein standardisierter Prozess ist, sondern eine rechtliche Grauzone bleibt.
Gerade bei solch kritischen Problemen müssen sowohl diejenigen geschützt werden, die die Sicherheitslücke melden, als auch die Unternehmen darüber informiert werden, wie sie auf solche Meldungen reagieren sollen.
Der Umgang mit Responsible Disclosure sollte in Deutschland und auch weltweit weiterhin gefördert werden. Es ist wichtig, dass Sicherheitsforscher ermutigt werden, Sicherheitsprobleme zu melden und Unternehmen sollten ihnen dafür Anerkennung und auch eine Belohung bieten. Dies fördert die Zusammenarbeit und ermöglicht es Unternehmen, potenziell gefährliche Sicherheitslücken schnell zu beheben.
Fazit
Mercedes konnte durch seine schnelle Reaktion den Schaden bestmöglich eindämmen, was letztlich nur durch die gute Zusammenarbeit zwischen den Forschern und dem Mercedes-Team möglich war. Verantwortungsvolle Offenlegung und Zusammenarbeit zwischen Forschern und Unternehmen sind entscheidend, um Schwachstellen zu erkennen und zu beheben.
Um solche Vorfälle zu vermeiden, müssen Unternehmen robuste Sicherheitsmaßnahmen implementieren und Mitarbeiter schulen, um sicherzustellen, dass sensible Informationen geschützt bleiben. Nur so können Unternehmen effektiv auf die Bedrohungen in der digitalen Welt reagieren und den Schutz ihrer Daten gewährleisten.
