2024-02-21
案例1:奔驰由于没有妥善处理 GitHub 私钥,导致外界可不受限制地访问内部 GitHub 企业服务,而且整个源代码都被泄露出来。该事件是RedHunt 实验室的研究人员于 2023 年 9 月 29 日搜索时候,在属于Mercedez 员工的公共仓库中发现了一个 GitHub 私钥,该私钥可访问公司内部的 GitHub 企业服务器。且RedHunt 实验室的报告指出,利用该 GitHub 私钥,可以“不受限制”和“不受监控”地访问托管在内部GitHub 企业服务器上的全部源代码。这次事件暴露了存放大量知识产权的敏感存储库,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。
案例2:索尼在2023年遭遇了两次重大数据泄露,可能导致大量个人信息泄露。据介绍,
案例3:2022年,威胁猎人风险情报平台捕获到一批“智慧停车平台”攻击工具,对多个“智慧停车平台”的API接口发起大规模攻击,非法盗取车辆的停车信息,包括车辆当前的停车位置、停车时长等,并借此掌握车主的行踪轨迹。犯罪团伙的作案过程涉及黑产工具攻击、数据盗取、安装GPS、资金交易等环节,形成了一条完整的“寻车”业务链。
案例4:微软的 AI 研究团队在 GitHub 上发布了开源训练数据,但是一同意外暴露了 38TB 的其他内部数据,包括微软几名员工个人 PC 的磁盘备份。而在这个磁盘备份中,又包含了机密、私人密钥、密码和数百名 Microsoft 员工超过 30000 条 Microsoft Teams 内部消息。