Mercedes çok büyük bir güvenlik ihlali haberi ile gündemde. İşin ilginci, Mercedes’in bu veriyi kendi eliyle bile bile sızdırmış olması. Güvenlik araştırmacılarının yaptığı rutin taramalardan birinin sonucunda, İngiltere merkezli güvenlik şirketi RedHunt Labs, Mercedes-Benz’e ait önemli ticari sırları ve kaynak kodlarını içeren bir GitHub deposu keşfetti. Mercedes şirket sırlarını kendi eliyle internete koymuş.
İçindekiler
Mercedes Ticarı Sırları Ortalıkta Cirit Atıyor, İşte Ortaya Çıkanlar
GitHub nedir diye soranlarınız olabilir. GitHub, yazılımcıların işlerini paylaştığı ve açık kaynak kodlu projeler üzerinde birçok geliştiricinin beraber çalışabildiği, uygulamalarını paylaştığı bir yazılımcı sosyal medyası diyebiliriz. Bu platform üzerinde her gün trilyonlarca kod paylaşılıyor.
RedHunt kurucu ortağı Shubham Mittal’ın açıklamasına göre, GitHub’da bulunan bir kimlik doğrulama anahtarı, Alman otomotiv devinin ticari sırlarına ve diğer önemli bilgilere “sınırsız erişim” sağlayabilecek düzeyde. Bu durum, kötü niyetli kişilerin veya siber suçluların şirketin GitHub Kurumsal Sunucusuna tam erişim elde etmiş olabilecekleri endişesini ortaya çıkardı.
Söz konusu sunucuda bulunan verilerin hacmi ve hassasiyeti şaşırtıcı. RedHunt Labs’a göre, bu anahtar, planlar, tasarım belgeleri ve diğer “kritik” dahili bilgilere izinsiz erişim sağlıyordu. Ayrıca, sunucu bulut erişim anahtarları, API anahtarları ve ek şifreler gibi önemli bilgileri de içeriyordu. Bu durum, şirketin tüm BT altyapısını tehlikeye atabilecek benzeri görülmemiş bir durum yaratabilirdi.
RedHunt Labs, güvensiz depoların Microsoft Azure ve Amazon Web Services (AWS) sunucularının anahtarlarını, bir Postgres veritabanını ve hatta bir Mercedes yazılımının kaynak kodunu ifşa ettiğini doğruladı. Neyse ki, etkilenen sunucularda müşteri verisinin bulunmaması olumlu bir gelişme olarak kaydedildi.
Şirket sözcüsü, sınırsız API belirtecinin iptal edildiğini ve halka açık havuzun derhal kaldırıldığını doğruladı. Sözcü ayrıca, otomobil üreticisinin dahili kaynak kodunun insan hatası nedeniyle yanlışlıkla halka açık bir GitHub sunucusunda yayınlandığını belirtti. Mercedes bu işe tam anlamıyla “Stajyer çocuğun hatası” damgasını vurmuş durumda.
Şu ana kadar, kötü niyetli aktörlerin veya siber suçluların Mercedes-Benz’in ticari sırlarını keşfetmek veya kötüye kullanmak için bu fırsatı kullandığına dair herhangi bir kanıt bulunmuyor. Ancak, bu olay, büyük şirketlerin siber güvenlik önlemlerini sürekli gözden geçirmesi gerektiğini bir kez daha hatırlatıyor.
İlginizi Çekebilir: Formula 1 nereden izlenir sorusu cevap buldu
Peki siz bu konuda ne düşünüyorsunuz? Sizce bu tarz güvenlik açıkları için firmalar daha temkinli olmalı mı? Düşüncelerinizi yorumlar kısmında belirtebilirsiniz. Daha fazlası için bizi takip etmeyi unutmayın!