Sicherheitsforscher von RedHunt Labs haben ein potenziell schwerwiegendes Sicherheitsleck bei Mercedes Benz entdeckt. Ein Github-Token, das offenbar versehentlich öffentlich zugänglich war, gewährte uneingeschränkten Zugriff auf interne Informationen des Autoherstellers, einschließlich sensibler Daten wie API-Schlüssel, Cloud-Schlüssel, Blaupausen, Passwörter und Sourcecode.

Der Vorfall wurde bei einem Routine-Scan im September 2023 in einem öffentlich zugänglichen Github-Repository entdeckt. Ein Github-Token dient als Alternative zu einem Passwort und ermöglicht den Zugriff auf bestimmte Dienste. In diesem Fall gestattete der Token unbefugten und unbeobachteten Zugriff auf die Github-Website von Mercedes Benz.

Ob tatsächlich unbefugte Zugriffe stattgefunden haben, ist bisher nicht bekannt. Ein Sprecher von Mercedes bestätigte den Vorfall gegenüber TechCrunch und teilte mit, dass der betroffene Token inzwischen seine Gültigkeit verloren hat, sodass eine Anmeldung nicht mehr möglich ist. Das entsprechende Repository wurde ebenfalls nicht mehr öffentlich zugänglich gemacht.

Die Sicherheitsforscher betonen, dass auf der Github-Website von Mercedes sensible interne Daten gespeichert waren. Dazu gehören API- und Cloud-Schlüssel, Blaupausen, Passwörter und Sourcecode. Ein potenzieller Fremdzugriff auf Blaupausen und Sourcecode könnte schwerwiegende Konsequenzen für den Autohersteller haben.

Es ist derzeit unklar, ob auch Kundendaten von dem Sicherheitsleck betroffen sind. Mercedes gibt an, den Vorfall weiter zu untersuchen und gegebenenfalls zusätzliche Sicherheitsmaßnahmen zu ergreifen.