해봄의 아카이브

우리 회사 공식 Github에 인증키가 주석으로 올라갔다면? (실화)

Haebom

Jan 30, 20242y ago

1990년 1월 15일, AT&T의 뉴저지 운영 센터는 네트워크 디스플레이에서 많은 광범위한 시스템 오작동을 감지했습니다.(AT&T는 한국으로 따지면 KT, SKT, LG U+과 같은 통신사 입니다.) 이로 인해 전화 서비스가 중단되고, AT&T 네트워크의 절반에 해당하는 통화 연결이 실패했습니다. 이 사건은 6만명 이상의 미국인에게 전화 서비스 중단을 초...

haebom.dev

이전에 다룬 이 포스팅을 무척 많은 분들이 재밌어 하셔서 비슷한 이야기를 하나 더 가지고 왔습니다. 이번 이야기의 주인공은 놀랍게도 Mercedes-Benz(메르세데스 벤츠)입니다. 메르세데스 벤츠는 공식 깃헙을 통해 몇몇 오픈소스 프로젝트에 참여하거나 어느 정도의 접근권한을 열어주는 행보를 보였습니다.

Mercedes-Benz Group

Central github.com organizational account of the Mercedes-Benz Group. Please also check out our FOSS Landing Page. - Mercedes-Benz Group

github.com

하지만, 최근 GitHub의 공개 저장소에서 메르세데스 직원의 인증 토큰이 그대로 올라가 있었습니다. 이 토큰은 메르세데스의 GitHub Enterprise Server에 대한 완전한 접근 권한을 부여했으며, 회사의 소스 코드 저장소를 다운로드할 수 있게 했습니다. (메르세데스벤츠의 전장을 관리하는 코드소스 전체가 있었다고 합니다.)

이것을 처음 발견하고 제보한 Shubham Mittal에 따르면 해당 토큰은 토큰은 메르세데스의 내부 GitHub Enterprise Server에 호스팅된 전체 소스 코드에 대한 "제한 없는" 접근을 가능하게 했으며, 이 저장소에는 지적 재산, 연결 문자열, 클라우드 액세스 키, 설계도, 디자인 문서, SSO(싱글 사인온) 비밀번호, API 키 등 중요한 내부 정보가 포함되어 있었습니다.

How a mistakenly published password exposed Mercedes-Benz source code | TechCrunch

Mercedes accidentally exposed a trove of sensitive data after a leaked security key gave “unrestricted access” to company’s source code.

techcrunch.com

약간 웃긴건 Mittal가 이걸 메르세데스 벤츠에 알린게 아니라 언론에 제보를 해버렸습니다. 그리고 이 사실을 언론 보도를 통해 알게된 메르세데스 벤츠는 공식적으로 "해당 API 토큰을 취소하고 공개 저장소를 즉시 제거했다"고 발표하며, "내부 소스 코드가 실수로 공개 GitHub 저장소에 게시되었다"고 인정했습니다. 그리고 앞으로 보안에 주의하겠다고 입장문을 밝혔습니다.

사실, 어찌보면 유일한 피해자는 메르세데스 벤츠가 아닐까 싶긴 한데... 메인 토큰을 Github에 업로드한 누군가도 그걸 발견하고 언론사로 바로 제보 때린 사람도 모두가 신기한 실화 이야기 입니다. 개인적으로 제가 Mittal라면 메르세데스 벤츠에 제보하고 보안 솔루션 등을 주면 벤츠 한 대 이상의 가치를 하지 않았을까라는 생각이 듭니다. 이런 생각을 하는 이유는 Mittal는 IT보안 솔루션 회사 RedHunt Lab의 CTO이기 때문입니다. 😂

Subscribe to 'haebom'

Subscribe to my site to be the first to receive notifications and emails about the latest updates, including new posts.
Join Slashpage and subscribe to 'haebom'!