来自瑞士的软件工程师Till Kottmann发现了属于奔驰母公司戴姆勒(Daimler AG)的git web网关。然后注册了一个代码保存网关的账号,并下载了超过580个git库的内容,其中就含有奔驰汽车上安装的车载逻辑单元(onboard logic units,OLU)的源代码。
OLU
据戴姆勒网站介绍,OLU是位于汽车硬件和软件之间组件,可以将车辆与云端相连接。OLU简化了实时车辆数据的技术访问和管理,允许第三方开发者创建从奔驰车辆上提取数据的app。
这些app一般会被用来对路上的车辆进行追踪、记录车辆的内部状态、或者在车辆被盗时锁定车辆。
不安全的gitlab安装致代码泄露
GitLab是一个基于web的软件包,企业用它来集中处理Git存储库。Git是一种专门用于跟踪源代码修改的软件,允许多人编写代码,然后将代码同步到一个中央服务器。本例中中央服务器就是戴姆勒Gitlab的网页门户。
Kottmann称戴姆勒没有实现账号确认过程,这一过程本来是用来验证非公司的邮箱地址在公司的官方gitlab服务器上注册账号的。
Kottmann说他从戴姆勒的服务器上下载了超过580个git库,他将部分文件上传到了MEGA、Internet Archive和他自己的gitlab服务器上。
Kottmann的GitLab服务器
ZDNet对泄露的git库进行了检查,发现这些文件都不含开源证书,也就是说都是不准备公开的专利信息。泄露的信息中包含Mercedes vans OLU组件的源代码、Raspberry Pi镜像、服务器镜像、管理远程OLU的Daimler组件、内部文档、代码实例等。
威胁情报公司Under the Breach称在泄露的文件中发现了Daimler内部系统的密码和API token。这些密码和access token可以为入侵Daimler的云和内部网络做准备。
事件进展
目前,戴姆勒公司的GitLab服务器已经无法访问,发言人也没有给出官方声明。
但Kottmann的行为仍存有争议,因为他在将代码公开之前并没有准备通知戴姆勒。但另一方面,Gitlab服务器允许任何人去注册账号,因此可以看作是一个开放的系统。从开放的系统注册账号、下载信息、再上传到网络似乎也没有什么问题。
参考及来源:https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/
