Сервер GitLab от матери Daimler позволяет каждому создать учетную запись. Швейцарский исследователь безопасности извлекает данные из сотен репозиториев и публикует их в Интернете. Данные содержат не только исходный код, но также пароли и токены API.
Автопроизводитель Mercedes-Benz, по-видимому, недостаточно защитил сервер с исходным кодом компонентов умных автомобилей для грузовиков. Швейцарский инженер-программист Тилль Коттманн сказал, что ему удалось создать собственную учетную запись для веб-портала Git материнской компании Mercedes-Benz Daimler и получить доступ к хранящемуся там коду.
Всего Коттманн загрузил код из более чем 580 репозиториев Git. Сюда входил исходный код бортовых логических блоков (OLU) компании. Это компоненты, которые находятся между аппаратным и программным обеспечением автомобиля и соединяют его с облаком. OLU «упрощают технический доступ к текущим данным о транспортных средствах и управление ими», — говорится на веб-сайте Daimler. Среди прочего реализованы приложения для отслеживания транспорта или отключения в случае угона автомобиля.
Коттман нашел открытый сервер GitLab с помощью поиска Google Dorks. «Я часто ищу интересные экземпляры GitLab, в основном с помощью Google Dorks, когда мне скучно, и я всегда удивляюсь, насколько легко можно попасть в настройки безопасности», — сказал исследователь. «Честно говоря, это была очень удачная находка, когда я просто просматривал пару торговых марок в надежде найти мелкого поставщика или что-то в этом роде».
Daimler не удалось создать белый список для регистрации новых учетных записей. Это позволило ему создать учетную запись на официальном сервере GitLab от Daimler даже без адреса электронной почты компании. Коттманн опубликовал данные из более чем 580 репозиториев, среди прочего, на Mega и Internet Archive. Помимо исходного кода для компонентов OLU, это также включало образы для Raspberry Pi, образы серверов, внутренние документы для удаленного управления OLU, пример кода и внутреннюю документацию.
Кроме того, провайдер безопасности Under The Breach в ходе анализа данных обнаружил пароли и токены API для внутренних систем Daimler. В чужих руках оба могут способствовать планированию атак на внутреннюю сеть Daimler.
Сервер GitLab отключен. Коттманн, однако, объявил, что не будет удалять опубликованные им копии, пока Даймлер не попросит его об этом. Также возникает вопрос о том, нарушают ли действия Коттманна закон, поскольку он, по-видимому, не пытался связаться с Daimler до того, как опубликовал данные. Однако, по словам Коттманна, сервер GitLab был настроен так, что любой мог создать учетную запись — как если бы это была открытая система. В коде не было предупреждений о том, что это интеллектуальная собственность Daimler или Mercedes-Benz.
