梅赛德斯-奔驰车载逻辑单元(OLU)源代码在线泄露

2020-05-19 02:24:41

ZDNet获悉,安装在梅赛德斯-奔驰(Mercedez-Benz)面包车上的智能汽车组件的源代码周末在网上泄露。

泄密事件发生之前,瑞士软件工程师蒂尔·科特曼(Till Kottmann)发现了戴姆勒(Daimler AG)旗下的一个Git门户网站。戴姆勒是梅赛德斯-奔驰(Mercedes-Benz)汽车品牌背后的德国汽车公司。

Kottmann告诉ZDNet,他可以在戴姆勒的代码托管门户上注册一个账户,然后下载580多个Git存储库,其中包含安装在梅赛德斯面包车上的车载逻辑单元(OLU)的源代码。

据戴姆勒网站介绍,OLU是介于汽车硬件和软件之间的一个组件,它将车辆与云端连接起来。

戴姆勒表示,Olu&34;简化了实时车辆数据的技术访问和管理,并允许第三方开发人员创建从梅赛德斯面包车检索数据的应用程序。

这些应用程序通常用于跟踪面包车在路上的情况,跟踪面包车的内部状态,或者在被盗的情况下冻结面包车。

Kottmann在今天的一次采访中告诉ZDNet,他发现戴姆勒的GitLab服务器使用的是像Google DOKS(专门的谷歌搜索查询)这样简单的东西。

GitLab是一个基于Web的软件包,公司使用它来集中处理Git存储库的工作。

Git是一款专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将其同步到中央服务器--本例中是戴姆勒基于GitLab的门户网站。

考特曼告诉ZDNet,当我感到无聊的时候,我经常只是寻找有趣的GitLab实例,大多是简单的谷歌呆子,我一直惊讶于安全设置似乎几乎没有考虑过什么。

老实说,这只是一个非常幸运的发现,当时我正在查看一些我以前没有检查过的品牌名称,希望能找到一些小承包商之类的东西。

科特曼说,戴姆勒未能实施账户确认流程,这使得他能够使用一封不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册账户。

这位研究人员说,他从该公司的服务器上下载了580多个Git存储库,并在周末将其公之于众,并将文件上传到几个位置,如文件托管服务Mega、互联网档案馆和他自己的GitLab服务器。

ZDNet已经审查了一些--而不是全部--泄露的Git存储库。我们查看的文件中没有一个包含开放源码许可证,这表明这是不应该公开的专有信息。

泄露的项目包括梅赛德斯面包车OLU组件的源代码,但也包括Raspberry PI映像、服务器映像、用于管理远程OLU的内部戴姆勒组件、内部文档、代码示例等。

虽然泄密事件一开始看起来是无害的,但此次泄密事件中的威胁情报公司也对数据进行了审查,该公司告诉ZDNet,他们发现了戴姆勒内部系统的密码和API令牌。这些密码和访问令牌如果落入不法分子之手,可能会被用来计划和发动针对戴姆勒云和内部网络的未来入侵。

在ZDNet和Under Under今天都联系了戴姆勒之后,该公司关闭了Kottmann下载数据的GitLab服务器。戴姆勒发言人没有回复正式的置评请求。

Kottmann告诉ZDNet,他打算将戴姆勒的源代码放在网上,直到公司要求他将其删除。

然而,关于科特曼行为的合法性仍然存在一些疑问,因为他没有试图在周末将源代码发布到网上之前通知公司。

另一方面,GitLab服务器允许任何人注册帐户,有些人可能会认为这是一个开放的系统。此外,ZDNet今天早些时候审查的源代码没有包含这是专有技术的警告。