Mercedes-Benz lỡ tay tiết lộ bí mật kinh doanh và mã nguồn phần mềm của xe hơi

Buzz

Ngày cập nhật gần nhất: 1/5/2026

Đọc tóm tắt

- RedHunt Labs phát hiện nhân viên Mercedes-Benz để lộ token xác thực trên GitHub.
- Token này cho phép truy cập vào máy chủ bảo mật của hãng xe Đức.
- Token xác thực bị lộ từ tháng 9/2023, có thể truy xuất thông tin quan trọng của hãng.
- Có cả key đăng nhập máy chủ đám mây, API key và mã nguồn phần mềm điều khiển hệ thống điện tử trong xe Mercedes.
- Mercedes-Benz đã vô hiệu hóa token sau khi được thông báo bởi RedHunt và TechCrunch.
- Chưa có bằng chứng cho thấy thông tin bị lộ đã được sử dụng để gây hại cho hãng.

RedHunt Labs, đơn vị nghiên cứu bảo mật đặt tại Anh Quốc, mới phát hiện rằng một nhân viên của Mercedes-Benz đã không cẩn thận để lộ token xác thực tài khoản trên thư viện GitHub. Với token này, bất kỳ ai cũng có thể đăng nhập một cách thoải mái vào máy chủ bảo mật của hãng xe Đức, từ đó có thể truy xuất trái phép nhiều bí mật kinh doanh và thông tin quan trọng khác.

RedHunt đã phát hiện token xác thực này trong một đợt quét và kiểm tra cơ sở dữ liệu công khai vào tháng 1. Tuy nhiên, họ nhận ra rằng token xác thực của nhân viên Mercedes-Benz đã bị lộ từ tháng 9/2023. Chỉ cần có token này, GitHub Enterprise Server mà Mercedes-Benz sử dụng sẽ dễ dàng rơi vào tay của bất kỳ ai có ý định xâm nhập máy chủ.

Trong đó, chứa những tài liệu sở hữu quyền trí tuệ, thiết kế độc đáo và nhiều thông tin được xem là bí mật kinh doanh của hãng xe. Cùng trên máy chủ doanh nghiệp mà Mercedes-Benz sử dụng trên GitHub, có cả key đăng nhập máy chủ đám mây, API key, và nhiều mật khẩu khác. Những kẻ có ý định xấu hoàn toàn có thể sử dụng thông tin này để gây hậu quả cho quy trình vận hành và kinh doanh của hãng.

Lo lắng hơn, theo Shubham Mittal, đồng sáng lập RedHunt Labs, có chứng cứ cho thấy Mercedes-Benz đã bị lộ cả key xác thực đăng nhập máy chủ Microsoft Azure và Amazon Web Services, cùng với cơ sở dữ liệu Postgres, và thậm chí là mã nguồn phần mềm điều khiển hệ thống điện tử trong các chiếc xe Mercedes. Phần may mắn là những máy chủ có thể đăng nhập bằng token xác thực vô tình bị lộ không chứa dữ liệu cá nhân của khách hàng Mercedes-Benz.

Sau khi RedHunt chia sẻ thông tin này với TechCrunch, Mercedes-Benz cũng đã được thông báo. Người phát ngôn của hãng xe Đức xác nhận rằng token xác thực đã bị vô hiệu hóa. Hiện vẫn chưa có bằng chứng cho thấy sơ hở nghiêm trọng của nhân viên hãng xe đã bị những tội phạm công nghệ cao lợi dụng để làm hại tới quá trình kinh doanh của hãng.

Theo Thông tin từ Techspot

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]