網路安全公司RedHunt Labs 日前在例行互聯網掃描中發現知名公司梅賽德斯奔馳不慎洩露員工的身份驗證令牌，這導致該公司在GitHub 企業版上託管的所有源代碼、存儲庫全部暴露在公網上。

根據分析梅賽德斯奔馳的GitHub Enterprise Server 上包含大量機密內容：

• 整個原始碼
• 智慧財產內容
• 用來連接其他服務的字串
• AWS/Azure 連線金鑰
• 設計藍圖
• 設計文件
• SSO 密碼
• API 金鑰
• 其他關鍵訊息

其中AWS 和Microsoft Azure 連線金鑰則可以用來登入賓士在AWS 和微軟託管的伺服器，這又可能導致更多私密資料暴露。

開發者不慎在GitHub 上暴露了令牌：

GitHub 允許開發者產生身份驗證令牌作為替代密碼的驗證方案，梅賽德斯奔馳的員工不慎在一個公共GitHub 中暴露了自己的令牌，這意味著任何人拿到這個令牌後都可以直接存取梅賽德斯奔馳的GitHub Enterprise Server 並下載所有資料。

RedHunt Labs 基於安全驗證目的瀏覽了部分數據，發現裡面還包含AWS 和Azure 金鑰、Postgres 資料庫和梅賽德斯的其他原始碼等。

隨後該安全公司透過TechCrunch 聯繫梅賽德斯奔馳進行反饋，接到反饋後梅賽德斯奔馳立即確認了問題並撤銷了令牌，同時把暴露令牌的整個存儲庫都刪除了。

是否洩漏資料目前還不清楚：

掃描顯示梅賽德斯奔馳員工是在2023 年9 月下旬不慎暴露自己的身份驗證令牌，也就是說撤銷的時候已經有幾個月，這幾個月難免會有其他黑客掃描到令牌進而竊取了所有資料。

遺憾的是梅賽德斯奔馳拒絕透露是否知道任何第三方訪問了暴露的數據，或者說沒人知道該公司有沒有能力檢查數據遭到異常訪問，這可能需要完整的排查過去幾個月的日誌。