Фото: daimler.comИсходные коды компонентов «умного автомобиля», установленных в микроавтобусах Mercedez-Benz, были опубликованы в сети в эти выходные. Выяснилось, что Daimler позволял любому зарегистрироваться на одном из своих локальных серверов GitLab.
Утечка произошла после того, как Тилл Коттманн, швейцарский инженер-программист, обнаружил веб-портал Git, принадлежащий Daimler AG. Он рассказал, что смог зарегистрировать учетную запись на портале хостинга кода Daimler, а затем загрузить Git-репозитории, содержащие исходный код встроенных логических модулей (OLU), установленных в фургонах Mercedez. По словам Коттмана, это стало возможным благодаря тому, что сервер Daimler GitLab использует систему наподобие Google dorks (специализированные поисковые запросы Google).
Согласно информации Daimler, OLU — это компонент, который «соединяет транспортные средства с облаком». Он «упрощает технический доступ и управление данными о транспортном средстве в реальном времени» и позволяет сторонним разработчикам создавать приложения для извлечения данных. Эти приложения обычно используются для отслеживания фургонов в дороге, их внутреннего состояния или блокировки системы управления в случае кражи транспортного средства.
Git является специализированным программным обеспечением для отслеживания изменений в исходном коде и позволяет многопользовательским командам инженеров писать код и затем синхронизировать его с центральным сервером — в данном случае это веб-портал Daimler на основе GitLab.
Коттманн отметил, что Daimler не удалось реализовать процесс подтверждения учетной записи, и это позволило ему зарегистрировать учетку на официальном GitLab-сервере компании, используя ее несуществующую корпоративную электронную почту.
В итоге инженер выгрузил более 580 Git-репозиториев с сервера компании, которые он сделал общедоступными, загрузив файлы в службу размещения MEGA, Internet Archive и на свой собственный сервер GitLab.
Фото: www.zdnet.comЖурналисты ознакомились с некоторыми из файлов, и они действительно не имели лицензии с открытым исходным кодом. Утечка включала в себя также образы Raspberry Pi, образы серверов, внутренние компоненты Daimler для управления удаленными OLU, внутреннюю документацию, примеры кода и многое другое.
Аналитическая компания Under the Breach, которая также проверила данные, обнаружила пароли и токены API для внутренних систем Daimler. Они могут быть использованы для планирования и организации атак на облако компании и внутреннюю сеть.
Daimler отключила сервер GitLab, откуда Коттманн загрузил данные. Официально там не стали комментировать утечку. Коттманн же, как выяснилось, не пытался уведомить компанию перед публикацией информации в сети. С другой стороны, сервер GitLab позволяет любому зарегистрировать учетную запись, а исходный код не содержал предупреждений о том, что это частная собственность.
См. также:
