Aunque no podemos negar que los piratas informáticos son cada vez más habilidosos a la hora de llevar a cabo sus ataques (y más ahora que cuentan con la ayuda de la IA), muchas veces la culpa de que seamos víctimas de un ataque informático es nuestra. Ya ha pasado más veces que, a causa de un descuido, hemos abierto las puertas a que los piratas se hagan con todos nuestros datos. Y esto mismo es lo que le acaba de pasar a Mercedes-Benz.
Ayer se hacía eco de una noticia en la que se indicaba que el gigante fabricante de coches alemán, Mercedes-Benz, podría haber expuesto absolutamente todo su código fuente en Internet, abriendo la puerta a que cualquiera podría haberlo descargado, distribuirlo por la red, e incluso vendérselo a otras empresas. Pero, ¿cómo ha sido esto posible? ¿Qué ha pasado exactamente?
Un despiste de un empleado de Mercedes-Benz
Un investigador de seguridad (por suerte, del «lado bueno») de la firma RedHunt Labs alertó que, durante un escaneo rutinario, encontró el token de en un repositorio público que tenía el empleado a nivel personal. Este token es una alternativa más segura al clásico /contraseña a la hora de acceder a un servidor desde cualquier lugar (por ejemplo, desde casa). Este en concreto permitía al empleado conectarse al GitHub Enterprise Server de Mercedez-Benz para trabajar con el código.
configuramos bien Git y GitHub, todo el código que se sube a la plataforma está siempre limpio y revisar muy bien los commits para asegurarse de que no viaja ningún fichero que no debería cuando sincronizamos el fichero.