우리 회사 공식 Github에 인증키가 주석으로 올라갔다면? (실화)

메르세데스 벤츠는 공식 깃헙을 통해 몇몇 오픈소스 프로젝트에 참여하거나 어느 정도의 접근권한을 열어주는 행보를 보였습니다. 하지만, 최근 GitHub의 공개 저장소에서 메르세데스 직원의 인증 토큰이 그대로 올라가 있었습니다. 이 토큰은 메르세데스의 GitHub Enterprise Server에 대한 완전한 접근 권한을 부여했으며, 회사의 소스 코드 저장소를 다운로드할 수 있게 했습니다. (메르세데스벤츠의 전장을 관리하는 코드소스 전체가 있었다고 합니다.) 이것을 처음 발견하고 제보한 Shubham Mittal에 따르면 해당 토큰은 토큰은 메르세데스의 내부 GitHub Enterprise Server에 호스팅된 전체 소스 코드에 대한 "제한 없는" 접근을 가능하게 했으며, 이 저장소에는 지적 재산, 연결 문자열, 클라우드 액세스 키, 설계도, 디자인 문서, SSO(싱글 사인온) 비밀번호, API 키 등 중요한 내부 정보가 포함되어 있었습니다.