Mercedes: online per errore dati aziendali riservati

Mercedes: online per errore dati aziendali riservati

Dei dati riservati Mercedes sono diventati accessibili online per errore, abbiamo chiesto al Costruttore se sono coinvolti anche i clienti in Italia

29 Gennaio 2024 - 12:43

Mercedes-Benz ha scoperto grazie a un team di ricercatori indipendenti una vulnerabilità informatica che ha messo a rischio la riservatezza di alcuni file aziendali. Il caso divenuto di dominio pubblico solo nelle scorse ore riguarda l’accesso circoscritto ai server GitHub tramite un token di sicurezza finito online accidentalmente che garantiva l’accesso al codice sorgente della casa Costruttrice. Un episodio simile pare sia accaduto anche a Hyundai, come afferma la fonte che riporta i dettagli del caso Mercedes. Per capire meglio il perimetro della vicenda e se c’è stato un coinvolgimento dei file che riguardano i clienti in Italia o Europa abbiamo contattato l’ufficio stampa di Mercedes Benz Italia, la cui risposta è in fondo all’articolo.

Aggiornamento del 30 gennaio 2024 con la risposta di Mercedes Benz Italia sul coinvolgimento dei dati dei clienti

ACCESSO “ILLIMITATO” AL CODICE SORGENTE MERCEDES

L’accesso ai file Mercedes è stato scoperto da RedHunt Labs che ha intercettato l’esistenza di un token di autenticazione di un dipendente Mercedes in un archivio GitHub pubblico. TechCrunch ha riportato le dichiarazioni di Shubham Mittal CEO della società che si occupa di sicurezza informatica. “Il token GitHub ha fornito accesso ‘illimitato’ e ‘non monitorato’ all’intero codice sorgente ospitato sul GitHub Enterprise Server” – ha spiegato Mittal in un rapporto condiviso da TechCrunch.

“Gli archivi includono una grande quantità di file di proprietà intellettuale, stringhe di connessione, chiavi di accesso al cloud, progetti, documenti di progettazione, password, chiavi API e altre informazioni interne critiche”. La cybersicurezza delle auto da luglio 2024 sarà regolamentata in modo più stringente con una sorta di antivirus obbligatorio per tutti i nuovi veicoli. L’intento è ridurre la possibilità di accedere a un’auto connessa sfruttando le falle nel codice o nei sistemi di controllo. In questa intervista di SicurAUTO.it un hacker ci ha spiegato come ha bucato una Tesla in 2 minuti.

MERCEDES INTERVIENE, MA NON SI SA CHI E’ ENTRATO NEL SERVER

Mittal avrebbe fornito prove evidenti del rischio di sicurezza, rivelando la presenza di chiavi di Microsoft Azure e Amazon Web Services (AWS), un database Postgres e il codice sorgente di Mercedes negli archivi. La segnalazione del blog USA è stata commentata dalla portavoce di Mercedes Benz AG, Katja Liesenfeld, che ha confermato l’eliminazione immediata dell’archivio divenuto pubblico e la revoca del token API specifico. Non è noto se da quando il token è finito online (settembre 2023), siano avvenuti accessi non autorizzati fino a gennaio 2023, quando il caso divenuto di dominio pubblico.

LA RISPOSTA DI MERCEDES BENZ ITALIA

TechCrunch rivela che un episodio simile è accaduto anche a Hyundai Motor India, che a causa di un bug avrebbe reso disponibili online nomi, indirizzi postali, indirizzi e-mail e numeri di telefono dei clienti che avevano effettuato manutenzioni presso la rete ufficiale nel mondo.

Per capire se e in che misura l’esposizione dei dati Mercedes abbia potuto riguardare anche i clienti europei o italiani, abbiamo chiesto dettagli all’ufficio stampa di Mercedes Benz Italia, che ha girato la richiesta a Stoccarda. Ecco lo statement ufficiale di MB a riguardo:

La sicurezza della nostra organizzazione, dei nostri prodotti e servizi è una delle nostre massime priorità. Apprezziamo molto la collaborazione con ricercatori provenienti da tutto il mondo per aiutarci a creare prodotti e servizi migliori e più sicuri, incoraggiandoli a segnalare eventuali vulnerabilità attraverso il nostro programma di divulgazione delle vulnerabilità.

Prendiamo molto seriamente qualsiasi segnalazione di vulnerabilità. Possiamo confermare che il codice sorgente contenente un token di accesso interno è stato pubblicato per errore umano su un repository pubblico di GitHub. Abbiamo revocato immediatamente il token in questione e rimosso il repository pubblico. I dati dei clienti non sono stati compromessi, come indica la nostra attuale analisi. Continueremo ad analizzare questo caso secondo i nostri normali processi”.

Commenta con la tua opinione

X