外媒 ZDNet 获悉,梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前,瑞士软件工程师 Till Kottmann 发现了一个属于戴姆勒公司(Daimler AG)的 Git 门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。
Kottmann 告诉 ZDNet,他可以在戴姆勒的代码托管门户上注册一个帐户然后下载 580 多个 Git 存储库,其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元(OLU)的源代码。
什么是 OLU?
根据戴姆勒的网站,OLU 是介于汽车硬件和软件之间的一个组件,它负责将车辆连接到云端。
戴姆勒表示,OLU 简化了对实时车辆数据的技术访问和管理并允许第三方开发人员创建从奔驰货车检索数据的应用程序。
这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。
不安全的 GitLab 安装泄漏了 OLU 代码
Kottmann 告诉 ZDNet,他发现戴姆勒的 GitLab 服务器使用了一些简单的东西如 Google dorks(专门的 Google 搜索查询)。
GitLab 是一个基于 web 的软件包,各大公司用它来集中处理 Git 存储库。
Git 是一种专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将代码同步到一个中央服务器–在本例中则是戴姆勒基于 Gitlab 的网页门户。
Kottmann 告诉 ZDNet:“当我感到无聊的时候,我经常会寻找有趣的 GitLab 实例,大多数情况下都是使用简单的 Google dork,对于几乎没有考虑到安全设置这件事一直让我感到惊讶。”
Kottman 表示,戴姆勒未能实施账户确认流程,而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方 GitLab 服务器上注册一个账户。
这位研究人员称,他从公司的服务器上下载了超 580 个 Git 存储库,他计划在周末将其公开并将文件上传到文件托管服务 MEGA、Internet Archive 和他自己的 GitLab 服务器等几个地方。
针对这一情况,ZDNet 审查了一些泄漏的 Git 存储库。他们查看的文件中没有一个包含开源许可,这表明这这些文件都是不应该公开的专有信息。
泄露的项目包括梅赛德斯厢式货车 OLU 组件的源代码,另外还有树莓派图像、服务器图像、用于管理远程 OLU 的戴姆勒内部组件、内部文档、代码样本等等。
虽然一开始泄露的数据看起来无害,但负责审查数据的威胁情报公司告诉 ZDNet,他们发现了戴姆勒内部系统的密码和 API 令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部网络的入侵。
现在,ZDNet 和 Under the Breach 都已经跟戴姆勒公司取得了联系,该公司已经从 GitLab 服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。
Kottmann 告诉 ZDNet,他打算把戴姆勒的源代码留在网上,直到该公司要求他删除源代码。
然而,关于 Kottmann 行为的合法性仍存在一些疑问,因为他没有在周末在线发布源代码之前试图通知公司。
而另一方面,GitLab 服务器允许任何人注册一个帐户,有些人可能会将其解释为一个开放的系统。此外,ZDNet 在今日早些时候审查的源代码并没有出现这是专有技术的警告。