私钥外泄引爆安全,奔驰GitHub完整源代码和机密数据泄露
IT之家 2 月 1 日消息,梅赛德斯-奔驰由于没有妥善处理 GitHub 私钥,导致外界可不受限制地访问内部 GitHub 企业服务,而且整个源代码都被泄露出来。
梅赛德斯-奔驰(Mercedes-Benz)是德国知名的汽车、巴士和卡车制造商,以其丰富的创新历史、豪华的设计和一流的制造质量而闻名于世。
奔驰和很多其它车企一样,开发包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理,以及电力和电池管理(电动汽车)等系统。
IT之家查询相关报道,事情起因是 RedHunt 实验室的研究人员于 2023 年 9 月 29 日搜索时候,在属于 Mercedez 员工的公共仓库中发现了一个 GitHub 私钥,该私钥可访问公司内部的 GitHub 企业服务器。
RedHunt 实验室的报告指出,利用该 GitHub 思考,可以“不受限制”和“不受监控”地访问托管在内部 GitHub 企业服务器上的全部源代码。
这次事件暴露了存放大量知识产权的敏感存储库,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。
正如研究人员解释的那样,公开暴露这些数据的后果可能很严重。源代码泄露可能导致竞争对手对专有技术进行反向工程,或黑客对其进行仔细检查,以发现汽车系统中的潜在漏洞。
此外,API 密钥的暴露还可能导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。
RedHunt Labs 还提到,如果被暴露的存储库中包含,就有可能触犯 GDPR 等法律 。不过,研究人员尚未验证被暴露文件的内容。
在 TechCrunch 的帮助下,RedHunt 于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露的情况,奔驰在两天后撤销了私钥,阻止了任何持有和滥用该私钥的人访问。
这一事件类似于 2022 年 10 月发生的丰田汽车安全事故,当时这家日本汽车制造商披露,由于 GitHub 访问密钥被暴露,客户个人信息在五年的时间里仍可被公开访问。
比尔・盖茨回忆录《源代码》将于今年二月出版,分享童年经历
IT之家 1 月 14 日消息,微软公司联合创始人比尔・盖茨今日发文宣布,他的新书 Source Code(《源代码》,中文名暂译)将于今年二月出版。
这是一本关于比尔・盖茨早年生活的回忆录,记录了从童年到他决定离开大学,与保罗・艾伦(Paul Allen)一起创立微软的这段经历。他在书中讲述了那些为他之后的人生奠定基础的关系、教训和经历。
我从二十岁出头就进入公众视野,但我此前的生活鲜为人知。多年来,我经常被问及成长经历、我在哈佛大学的时光,以及后来又是如何与他人共同创办公司的。这些问题让我意识到,人们或许会对我的人生历程,以及我成长中的影响因素感兴趣。
在书中,我分享了自己早年生活中的一些艰难经历,包括小时候觉得自己格格不入、作为叛逆的青少年与父母冲突不断、面对亲人突然离世的痛苦,以及差点被大学开除。我也讲述了为了一个当时几乎还不存在的行业而辍学所面临的挑战。在书中,你也会读到那些相信我、鞭策我成长,并帮助我把自身的“怪癖”转化为优势的人们的故事。同时,我也反思了自己的幸运之处:生在一个优秀的家庭,正值历史性技术变革与乐观情绪弥漫的时代,而我也正是在个人电脑革命方兴未艾之时步入成年。
我计划再写两本回忆录,一本关于我在微软的工作经历,另一本关于慈善事业。但 Source Code 是我的起源故事,我期待与大家分享它。
IT之家注意到,《源代码》已在亚马逊上架,将于 2 月 4 日发售,实体版首发价 21 美元(当前约 154 元人民币)起。该书也在京东开启预售,定价 150 元。
本文作者及来源:Renderbus瑞云渲染农场https://www.renderbus.com
文章为作者独立观点不代本网立场,未经允许不得转载。
投诉举报&联系我们:
