Feb 05, 2024 Leaks, News, Privacy, Tecnologia, Vulnerabilità

Immaginate una banca che nel suo caveau ha tante cassette di sicurezza nelle quali gli sviluppatori mettono parti di codice sorgente. Alcune cassette sono pubbliche e sono pensate la condivisione con l’esterno; altre invece sono private e contengono parti di software di grande importanza. Ad esse possono accedere solo i membri di una particolare azienda, così da lavorare insieme sullo stesso progetto, aggiungendo o cambiando parti del codice.

Ora immaginate che per accedere a queste riservatissime cassette di sicurezza sia necessaria una chiave, e che un dipendente se la dimentichi in luogo pubblico senza accorgersi della sua distrazione neanche a distanza di mesi. Ecco, pur con tutte le semplificazioni del caso, questo è ciò che è accaduto a Mercedes-Benza. Con la differenza che la banca è GitHub e che la chiave (di accesso digitale) distrattamente lasciata in giro è un token GitHub.

Mercedes-Benz, come ormai tutti i costruttori di automobili, integra nei suoi veicoli diverse tecnologie software che spaziano dai sistemi di sicurezza alla guida autonoma. Si tratta di materiale estremamente sensibile, che in quanto tale è conservato in una repository Enterprise di GitHub. Ad essa possono accedere solo elementi selezionati del personale della casa di Stoccarda.

Sebbene la notizia sia di questi giorni, i fatti risalgono allo scorso 29 settembre. In quella data, un team di sicurezza di RedHunt Labs ha individuato un token GitHub “dimenticato” da un dipendente di Mercedes in una repository pubblica. Ciò permetteva l’accesso completo e non controllato ai codici sorgenti di Mercedes, rendendo così pubblici i dati critici dell’azienda.

“L’incidente ha messo a nudo repository sensibili contenenti una ricchezza di proprietà intellettuali; le informazioni compromesse includevano stringhe di connessione al database, chiavi di accesso al cloud, progetti, documenti di design, password SSO, chiavi API e altre informazioni interne critiche“, ha dichiarato RedHunt Labs.

I ricercatori della nota azienda di sicurezza informatica hanno evidenziato che questa esposizione potrebbe avere conseguenze gravi, tra cui la possibilità che i concorrenti copino le tecnologie di Mercedes o che gli hacker trovino vulnerabilità nei software. A ciò s’aggiungono anche potenziali violazioni del GDPR, nel caso siano stati compromessi i dati dei clienti. Abbiamo volutamente usato il termine “potenziali” in quanto, a oggi, non è stata confermata la presenza di tali informazioni.

RedHunt Labs ha notificato la questione a Mercedes-Benz lo scorso 22 gennaio 2024, e quest’ultima ha prontamente revocato il token, bloccando così ulteriori abusi. L’azienda ha poi confermato l’incidente, precisando che il token ha esposto solo una parte del suo codice sorgente.

Mercedes-Benz ha proseguito le indagini ma ha scelto di non divulgare dettagli tecnici per ragioni di sicurezza, lasciando incerta la portata dell’accesso non autorizzato. Ha comunque dato la sua disponibilità a lavorare con specialisti in sicurezza informatica da ogni parte del mondo, accogliendo le loro segnalazioni attraverso il proprio programma dedicato alla divulgazione delle vulnerabilità.

Questo incidente ricorda un evento analogo che ha riguardato Toyota nell’ottobre del 2022, quando il produttore giapponese di automobili ha ammesso che le informazioni personali dei suoi clienti sono rimaste accessibili pubblicamente per cinque anni a causa di una chiave di accesso GitHub mal gestita.

Questi incidenti generano prove di sfruttamento malevolo solo se i proprietari delle istanze di GitHub Enterprise (ossia le versioni private di GitHub usate dalle aziende) hanno attivato i log di audit.

I log di audit sono registrazioni dettagliate delle attività svolte all’interno di un sistema informatico. Tracciando chi accede al sistema, cosa fa e quando lo fa, i log sono essenziali per la sicurezza informatica perché aiutano a monitorare l’uso del sistema e a identificare attività sospette o non autorizzate. Ma di solito includono gli indirizzi IP degli utenti che accedono al sistema, ed ecco perché nel caso di Toyota si è parlato di potenziale esposizione dei suoi clienti.

Al di là di come sia andata realmente a finire in quel caso, simili episodi dimostrano come oggi e ancor più domani il problema della sicurezza informatica debba essere considerato una priorità assoluta.

Una piccola svista, infatti, può avere conseguenze di enorme portata, mettendo a rischio non solo la reputazione delle aziende ma anche la sicurezza dei loro consumatori.

• GitHub, Mercedes