※本ページはプロモーションが含まれています

IT小僧の時事放談

知的財産がダウンロード可能だった! メルセデス・ベンツ従業員GitHubトークンがパブリックリポジトリに置かれていた

なんともはや 何度このようなことが繰り返されるのだろうか?

従業員のミスで企業の知的財産権資料が盗まれた(かも知れない)

Gigazineより

メルセデス・ベンツは社外のコミュニティと経験や価値観を共有したり、オープンソースソフトウェアに貢献したりするため、GitHubにパブリックリポジトリを持っています。しかし、セキュリティ調査会社の調査により、メルセデス・ベンツのプライベートリポジトリへアクセス可能な、従業員の認証トークンがパブリックスペースに置かれていて、機密データや知的財産が誰でもダウンロード可能な状態だったことがわかりました。

How a mistakenly published password exposed Mercedes-Benz source code | TechCrunch
https://techcrunch.com/2024/01/26/mercedez-benz-token-exposed-source-code-github/

以下がメルセデス・ベンツグループのGitHubのパブリックリポジトリ。さまざまなAPIやデジタル生産システム「MO360」のフロントエンドツールキットなどが公開されています。

Mercedes-Benz Group · GitHub
https://github.com/mercedes-benz

セキュリティ調査会社・RedHunt Labsのシューバム・ミタル氏がニュースサイト・TechCrunchに語ったところによると、2024年1月にネットの定期スキャンを行っていたところ、パブリックGitHubリポジトリにおいてメルセデス・ベンツの従業員の認証トークンが見つかったとのこと。

このトークンを用いるとメルセデス・ベンツのGitHub Enterprise Serverにアクセスし、プライベートソースコードリポジトリのダウンロードが可能になります。当該リポジトリには接続情報やクラウドアクセスキー、設計図、設計書、シングルサインオン用パスワード、APIキー、その他の内部情報など大量の知的財産が保存されており、誰でも無制限に監視されずアクセス可能になっていたとミタル氏は説明しています。

続きはこちらから👇

メルセデス・ベンツの従業員のGitHubトークンがパブリックリポジトリに置かれていて誰でも知的財産がダウンロード可能な状態にあったことが判明 - GIGAZINE
https://gigazine.net/news/20240130-mercedes-benz-github-token/
2024年01月30日 

公共のクラウドにアップしているわけですから そりゃ間違うと偉いことになります。

これまで 何度も繰り返されてきた GitHub パブリックリポジトリ 問題 今後もトラブルは絶えないだろう

どんな便利なものでも使い方を間違えると大事になります。

紙の文書なら金庫に入れておけばいいだけなんですけどね

created by Rinker
Amazonベーシック(Amazon Basics)
¥7,899 (2024/11/23 14:34:21時点 Amazon調べ-詳細)

-IT小僧の時事放談
-,

Copyright© IT小僧の時事放談 , 2024 All Rights Reserved Powered by AFFINGER5.