メルセデス・ベンツの従業員のGitHubトークンがパブリックリポジトリに置かれていて誰でも知的財産がダウンロード可能な状態にあったことが判明

メルセデス・ベンツは社外のコミュニティと経験や価値観を共有したり、オープンソースソフトウェアに貢献したりするため、GitHubにパブリックリポジトリを持っています。しかし、セキュリティ調査会社の調査により、メルセデス・ベンツのプライベートリポジトリへアクセス可能な、従業員の認証トークンがパブリックスペースに置かれていて、機密データや知的財産が誰でもダウンロード可能な状態だったことがわかりました。

How a mistakenly published password exposed Mercedes-Benz source code | TechCrunch
https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/

以下がメルセデス・ベンツグループのGitHubのパブリックリポジトリ。さまざまなAPIやデジタル生産システム「MO360」のフロントエンドツールキットなどが公開されています。

Mercedes-Benz Group · GitHub
https://github.com/mercedes-benz

セキュリティ調査会社・RedHunt Labsのシューバム・ミタル氏がニュースサイト・TechCrunchに語ったところによると、2024年1月にネットの定期スキャンを行っていたところ、パブリックGitHubリポジトリにおいてメルセデス・ベンツの従業員の認証トークンが見つかったとのこと。

このトークンを用いるとメルセデス・ベンツのGitHub Enterprise Serverにアクセスし、プライベートソースコードリポジトリのダウンロードが可能になります。当該リポジトリには接続情報やクラウドアクセスキー、設計図、設計書、シングルサインオン用パスワード、APIキー、その他の内部情報など大量の知的財産が保存されており、誰でも無制限に監視されずアクセス可能になっていたとミタル氏は説明しています。

顧客データが含まれていたかどうかは不明だとのこと。

TechCrunchはこの情報を1月22日にメルセデス・ベンツに伝達。1月24日、メルセデス・ベンツの広報担当であるカーチャ・リーゼンフェルト氏はTechCrunchに、それぞれのAPIトークンを取り消し、パブリックリポジトリを直ちに削除したことを認めました。

リーゼンフェルト氏によると、パブリックリポジトリにトークンが置かれていたのは人為的ミスによるもので、社内で調査を行い是正措置を講じる予定だとのこと。

なお、当該トークンは2023年9月下旬に公開されたとみられていて、ミタル氏以外に気づいた人間がいたかどうかは不明です。

メルセデス・ベンツでは2020年、GitLabのセキュリティ設定のミスによって、車載演算装置のソースコードが流出する事案が発生したことがあります。

メルセデス・ベンツの車載演算装置(OLU)のソースコードが流出 - GIGAZINE