梅赛德斯奔驰OLU源代码在网上曝光
外媒 ZDNet 獲悉,梅賽德斯-奔馳貨車上安裝的“智能汽車”零部件源代碼上周末在網上泄露。而在泄密事件發生之前,瑞士軟件工程師 Till Kottmann 發現了一個屬于戴姆勒公司(Daimler AG)的 Git 門戶網站。戴姆勒是一家德國汽車公司,旗下擁有梅賽德斯-奔馳汽車品牌。
Kottmann 告訴 ZDNet,他可以在戴姆勒的代碼托管門戶上注冊一個帳戶然后下載 580 多個 Git 存儲庫,其中包含了梅賽德斯奔馳貨車上安裝的車載邏輯單元(OLU)的源代碼。
什么是 OLU?
根據戴姆勒的網站,OLU 是介于汽車硬件和軟件之間的一個組件,它負責將車輛連接到云端。
戴姆勒表示,OLU 簡化了對實時車輛數據的技術訪問和管理并允許第三方開發人員創建從奔馳貨車檢索數據的應用程序。
這些應用程序通常用于跟蹤貨車在路上的情況、跟蹤貨車的內部狀態或用于冷凍貨車以防盜竊情況發生。
不安全的 GitLab 安裝泄漏了 OLU 代碼
Kottmann 告訴 ZDNet,他發現戴姆勒的 GitLab 服務器使用了一些簡單的東西如 Google dorks(專門的 Google 搜索查詢)。
GitLab 是一個基于 web 的軟件包,各大公司用它來集中處理 Git 存儲庫。
Git 是一種專門用于跟蹤源代碼更改的軟件,它允許多人工程團隊編寫代碼,然后將代碼同步到一個中央服務器--在本例中則是戴姆勒基于 Gitlab 的網頁門戶。
Kottmann 告訴 ZDNet:“當我感到無聊的時候,我經常會尋找有趣的 GitLab 實例,大多數情況下都是使用簡單的 Google dork,對于幾乎沒有考慮到安全設置這件事一直讓我感到驚訝。”
Kottman 表示,戴姆勒未能實施賬戶確認流程,而這使其能使用一個不存在的戴姆勒公司電子郵件在公司的官方 GitLab 服務器上注冊一個賬戶。
這位研究人員稱,他從公司的服務器上下載了超 580 個 Git 存儲庫,他計劃在周末將其公開并將文件上傳到文件托管服務 MEGA、Internet Archive 和他自己的 GitLab 服務器等幾個地方。
針對這一情況,ZDNet 審查了一些泄漏的 Git 存儲庫。他們查看的文件中沒有一個包含開源許可,這表明這這些文件都是不應該公開的專有信息。
泄露的項目包括梅賽德斯廂式貨車 OLU 組件的源代碼,另外還有樹莓派圖像、服務器圖像、用于管理遠程 OLU 的戴姆勒內部組件、內部文檔、代碼樣本等等。
雖然一開始泄露的數據看起來無害,但負責審查數據的威脅情報公司告訴 ZDNet,他們發現了戴姆勒內部系統的密碼和 API 令牌。如果這些密碼和訪問令牌落到一些懷有壞心思的人手中則可能會被用來計劃和發動針對戴姆勒云計算和內部網絡的入侵。
現在,ZDNet 和 Under the Breach 都已經跟戴姆勒公司取得了聯系,該公司已經從 GitLab 服務器下載了這些數據。不過戴姆勒發言人沒有回復記者的正式置評請求。
Kottmann 告訴 ZDNet,他打算把戴姆勒的源代碼留在網上,直到該公司要求他刪除源代碼。
然而,關于 Kottmann 行為的合法性仍存在一些疑問,因為他沒有在周末在線發布源代碼之前試圖通知公司。
而另一方面,GitLab 服務器允許任何人注冊一個帳戶,有些人可能會將其解釋為一個開放的系統。此外,ZDNet 在今日早些時候審查的源代碼并沒有出現這是專有技術的警告。
總結
以上是生活随笔為你收集整理的梅赛德斯奔驰OLU源代码在网上曝光的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: max是什么意思车上的
- 下一篇: Microsoft Q&A正式上