外媒ZDNet獲悉,梅賽德斯-奔馳貨車上安裝的「智能汽車」零部件原始碼上周末在網上洩露。 而在洩密事件發生之前,瑞士軟體工程師Till Kottmann發現了一個屬於戴姆勒公司(Daimler AG)的Git門戶網站。戴姆勒是一家德國汽車公司,旗下擁有梅賽德斯-奔馳汽車品牌。
Kottmann告訴ZDNet,他可以在戴姆勒的代碼託管門戶上註冊一個帳戶然後下載580多個Git存儲庫,其中包含了梅賽德斯奔馳貨車上安裝的車載邏輯單元(OLU)的原始碼。
什麼是OLU?
根據戴姆勒的網站,OLU是介於汽車硬體和軟體之間的一個組件,它負責將車輛連接到雲端。
戴姆勒表示,OLU簡化了對實時車輛數據的技術訪問和管理並允許第三方開發人員創建從奔馳貨車檢索數據的應用程式。
這些應用程式通常用於跟蹤貨車在路上的情況、跟蹤貨車的內部狀態或用於冷凍貨車以防盜竊情況發生。
不安全的GitLab安裝洩漏了OLU代碼
Kottmann告訴ZDNet,他發現戴姆勒的GitLab伺服器使用了一些簡單的東西如Google dorks(專門的Google搜索查詢)。
GitLab是一個基於web的軟體包,各大公司用它來集中處理Git存儲庫。
Git是一種專門用於跟蹤原始碼更改的軟體,它允許多人工程團隊編寫代碼,然後將代碼同步到一個中央伺服器--在本例中則是戴姆勒基於Gitlab的網頁門戶。
Kottmann告訴ZDNet:「當我感到無聊的時候,我經常會尋找有趣的GitLab實例,大多數情況下都是使用簡單的Google dork,對於幾乎沒有考慮到安全設置這件事一直讓我感到驚訝。」
Kottman表示,戴姆勒未能實施帳戶確認流程,而這使其能使用一個不存在的戴姆勒公司電子郵件在公司的官方GitLab伺服器上註冊一個帳戶。
這位研究人員稱,他從公司的伺服器上下載了超580個Git存儲庫,他計劃在周末將其公開並將文件上傳到文件託管服務MEGA、Internet Archive和他自己的GitLab伺服器等幾個地方。
針對這一情況,ZDNet審查了一些洩漏的Git存儲庫。他們查看的文件中沒有一個包含開源許可,這表明這這些文件都是不應該公開的專有信息。
洩露的項目包括梅賽德斯廂式貨車OLU組件的原始碼,另外還有樹莓派圖像、伺服器圖像、用於管理遠程OLU的戴姆勒內部組件、內部文檔、代碼樣本等等。
雖然一開始洩露的數據看起來無害,但負責審查數據的威脅情報公司告訴ZDNet,他們發現了戴姆勒內部系統的密碼和API令牌。如果這些密碼和訪問令牌落到一些懷有壞心思的人手中則可能會被用來計劃和發動針對戴姆勒雲計算和內部網絡的入侵。
現在,ZDNet和Under the Breach都已經跟戴姆勒公司取得了聯繫,該公司已經從GitLab伺服器下載了這些數據。不過戴姆勒發言人沒有回覆記者的正式置評請求。
Kottmann告訴ZDNet,他打算把戴姆勒的原始碼留在網上,直到該公司要求他刪除原始碼。
然而,關於Kottmann行為的合法性仍存在一些疑問,因為他沒有在周末在線發布原始碼之前試圖通知公司。
而另一方面,GitLab伺服器允許任何人註冊一個帳戶,有些人可能會將其解釋為一個開放的系統。此外,ZDNet在今日早些時候審查的原始碼並沒有出現這是專有技術的警告。
【來源:cnBeta.COM】