В Сети опубликован исходный код бортового устройства Mercedes-Benz

В Сети опубликован исходный код бортового устройства Mercedes-Benz

Компания Daimler позволяла любому пользователю зарегистрироваться на одном из своих локальных GitLab-серверов.

image

Исходный код компонентов «умного автомобиля» Mercedez-Benz был опубликован в Сети. Утечку данных выявил швейцарский инженер-программист Тилл Коттманн (Till Kottmann), который обнаружил GitLab-сервер, принадлежащий немецкой автомобильной компании Daimler AG.

Как сообщил Котман изданию ZDNet, ему удалось зарегистрировать учетную запись на Git-ресурсе Daimler, а затем загрузить с сервера компании более 580 Git-репозиториев с исходным кодом бортовых логических модулей (Onboard Logic Unit, OLU), установленных в автомобилях Mercedez.

OLU представляет собой компонент, находящийся между аппаратным и программным обеспечением автомобиля, который соединяет транспортное средство с облаком. Как сообщается на сайте компании, OLU «упрощает технический доступ и управление данными о транспортном средстве в реальном времени» и позволяет сторонним разработчикам создавать приложения, извлекающие данные из автомобилей Mercedes.

По словам исследователя, Daimler не внедрила процесс подтверждения учетной записи, что позволило ему зарегистрировать учетную запись на официальном GitLab-сервере компании, используя несуществующую корпоративную электронную почту Daimler. Загрузив репозитории с сервера компании, Котман опубликовал их в Сети.

Утечка включала исходный код компонентов OLU Mercedes, а также образы Raspberry Pi, образы серверов, внутренние компоненты Daimler для управления удаленными OLU, внутреннюю документацию, образцы кода, а также пароли и токены API для внутренних систем Daimler.

ZDNet сообщил Daimler об утечке данных, и компания отключила GitLab-сервер.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle