En el mundo actual, marcado por la digitalización acelerada, la seguridad informática se ha convertido en un pilar fundamental para empresas de todos los tamaños y sectores. Un ejemplo reciente que destaca la importancia de la gestión de la seguridad digital es el caso de Mercedes-Benz y su fallo en el manejo de un token de GitHub.
Un token de GitHub mal gestionado permitió un acceso sin restricciones al servicio interno de GitHub Enterprise de Mercedes-Benz, lo que resultó en la exposición del código fuente al público.
Mercedes-Benz, un destacado fabricante alemán de automóviles, autobuses y camiones, reconocido por su larga historia de innovación, diseños lujosos y calidad de construcción superior, utiliza software en sus vehículos y servicios, que incluyen sistemas de control y seguridad, infoentretenimiento, conducción autónoma, herramientas de diagnóstico y mantenimiento, conectividad y telemática, así como la gestión de energía eléctrica y batería para vehículos eléctricos.
El 29 de septiembre de 2023, los investigadores de RedHunt Labs descubrieron un token de GitHub en un repositorio público que pertenecía a un empleado de Mercedes-Benz. Este token otorgaba acceso sin restricciones y sin supervisión a todo el código fuente alojado en el servidor interno de GitHub Enterprise de la empresa, según el informe de RedHunt Labs. Como resultado, se expusieron repositorios confidenciales que contenían una gran cantidad de propiedad intelectual, incluyendo cadenas de conexión de bases de datos, claves de acceso a la nube, planos, documentos de diseño, contraseñas SSO, claves API y otra información interna crítica.
Los investigadores explicaron que las consecuencias de esta exposición pública de datos pueden ser graves. La filtración del código fuente podría permitir a competidores realizar ingeniería inversa en tecnología patentada o a piratas informáticos buscar posibles vulnerabilidades en los sistemas de los vehículos. Además, la exposición de claves API podría resultar en un acceso no autorizado a datos, interrupciones en el servicio y abuso de la infraestructura de la empresa con fines maliciosos.
Te podrá interesar: ¿Qué es un Ataque de Ingeniería Inversa?
RedHunt Labs también mencionó la posibilidad de posibles infracciones legales, como la violación del Reglamento General de Protección de Datos (GDPR), en caso de que los repositorios expuestos contuvieran datos de clientes. Sin embargo, los investigadores no confirmaron el contenido exacto de los archivos expuestos.
RedHunt Labs informó a Mercedes-Benz de la filtración del token el 22 de enero de 2024, y dos días después revocaron el acceso, bloqueando cualquier uso indebido del mismo. Este incidente se asemeja a un error de seguridad ocurrido en Toyota en octubre de 2022, cuando el fabricante de automóviles japonés reveló que la información personal de los clientes había permanecido públicamente accesible durante cinco años debido a una clave de acceso de GitHub expuesta.
Estos incidentes solo proporcionan evidencia de explotación maliciosa si los propietarios de las instancias de GitHub Enterprise han habilitado registros de auditoría, que generalmente incluyen direcciones IP.
Conoce más sobre: Uso de Wazuh para Monitorear GitHub
Una entidad de noticias se puso en contacto con Mercedes-Benz para averiguar si habían detectado algún indicio de acceso no autorizado en su servidor GitHub. La respuesta proporcionada por Mercedes-Benz fue la siguiente:
"Podemos confirmar que el código fuente que contenía un token de acceso interno se publicó accidentalmente en un repositorio público de GitHub debido a un error humano. Este token permitía el acceso a ciertos repositorios, pero no a la totalidad del código fuente alojado en el servidor interno de GitHub Enterprise. Inmediatamente revocamos el token en cuestión y eliminamos el repositorio público. Nuestro análisis actual indica que los datos de los clientes no se vieron comprometidos. Seguiremos investigando este incidente de acuerdo con nuestros procedimientos habituales."
Mercedes-Benz no compartió detalles técnicos sobre el incidente por razones de seguridad y no queda claro si han detectado un acceso no autorizado. Además, la empresa expresó su disposición a colaborar con investigadores de todo el mundo y acoge informes de seguridad a través de su programa de divulgación de vulnerabilidades.
Te podrá interesar: Evitando el Desastre del Data Breach
Este incidente sirve como un recordatorio crucial de la importancia de la seguridad informática en la era digital. Las empresas deben:
El incidente de Mercedes-Benz es un claro ejemplo de cómo un pequeño error en la gestión de la seguridad digital puede tener consecuencias significativas. En un mundo cada vez más conectado, es imperativo que las empresas inviertan en seguridad informática y manejen con cuidado herramientas como los tokens de GitHub. La seguridad digital no es solo una cuestión de tecnología, sino también de cultura organizacional y conciencia sobre la importancia de proteger la información.