Mercedez-Benz的GitLab伺服器配置不良,遭下載580G
一名瑞士軟體工程師Till Kottmann近日向ZDNet爆料,他在德國汽車大廠Mercedez-Benz母公司Daimler AG本地部署的GitLab伺服器上,發現一個配置問題,使他得以下載隸屬該公司的Git存儲庫,內置許多機密信息,包括一個應用在Mercedes-Benz廂型車上的主板邏輯(Onboard Logic Unit,OLU) 組件源碼。
Kottmann是藉由Google搜索的特殊查詢語句(Google Dorks)功能,找到Daimler的GitLab伺服器,Google Dorks被視為一種黑客技術,可用來搜索配置、網站或系統的安全漏洞,而Kottmann則說他無聊的時候就會這麼做,主要是在網路上搜索有趣的GitLab實例,這次算是捕到了大魚。
他說Daimler因未實施賬號確認程序,讓他得以利用一個不存在的Daimler企業電子郵件賬號進行註冊,於是他便從Daimler的伺服器上下載了超過580個Git的存儲庫,並將它們上傳到共享的MEGA、Internet Archive與自己的GitLab伺服器。
除了Kottmann自己的發現之外,ZDNet邀請Under the Breach,另一媒體SiliconANGLE則邀請Rapid7來分析這批資料,顯示這些Git存儲庫上不只存放了OLU源碼,也含有Daimler內部的用戶憑證與API令牌。
根據Daimler官網上的說明,OLU是Mercedes-Benz廂型車上一個創新的控制單元,用來串聯硬體與軟體之間的交互,它可將汽車連接到雲計算,簡化了即時車輛信息的管理,也讓第三方得以快速開發支持車輛的第三方應用。
安全專家指出,這些外泄資料將讓競爭對手取得重要的信息,而憑證或API令牌則允許黑客深入Daimler系統,挖掘更多的機密消息。
在接獲ZDNet的詢問之後,Daimler已關閉了該GitLab伺服器,但並未提供任何評論。
