賓士員工GitHub的Token不慎公開，恐導致其原始碼外流

汽車大廠發生資料外洩的情況不時出現，原因大致上可分成兩種型態，其中一種是遭遇網路攻擊，另一種則是其內部系統存在弱點，而導致存放的商業機密和客戶資料曝光。但最近有一起資料外洩事故，卻是因為開發人員曝露自己的Token造成。

1月29日資安業者RedHunt Labs揭露汽車大廠賓士（Mercedes-Benz）資料外洩的情況，他們在1月11日發現該公司員工不慎在程式碼儲存庫GitHub曝露Token，一旦有人取得，就能對該公司自行管理的GitHub Enterprise Server完整存取其中的原始碼，完全不受監控及限制。

研究人員指出，此程式碼儲存庫包含大量智慧財產，以及資料庫連線資訊、雲端服務存取金鑰、設計圖、設計文件、單一簽入（SSO）密碼、API金鑰，以及其他重要的內部訊息。

一旦有人竊取這些資料，有可能導致智慧財產外流造成財務損失，同時賓士還會觸犯商業秘密和智慧財產權法（Trade Secrets and Intellectual Property Laws），若是程式碼儲存庫內含客戶資料，也會違反GDPR，以及德國當地法律，例如：德國聯邦個人資料保護法（Bundesdatenschutzgesetz，BDSG）、德國新聯邦個人資料保護法（Datenschutz-Anpassungs- und Umsetzungsgesetz EU，DSAnpUG-EU）。

根據他們的調查，上述的Token是在去年9月曝光。研究人員尋求科技新聞媒體TechCrunch合作，向賓士通報此事並得到確認，賓士獲報後隨即註銷相關API的Token。

TechCrunch表示，他們看到研究人員提供的佐證資料裡，包含微軟Azure及AWS金鑰、PostgreSQL資料庫，以及賓士的原始碼，但無法確認當中是否含有客戶資料。

究竟是否有其他人士在賓士註銷Token前存取曝光的資料？賓士發言人以安全為由，拒絕說明。TechCrunch指出，他們不確定該公司是否具備相關的技術能力，能夠確認內部資料遭到不當存取的情況。