外媒ZDNet获悉,梅赛德斯-奔驰货车上安装的“智能汽车”零部件源代码上周末在网上泄露。而在泄密事件发生之前,瑞士软件工程师Till Kottmann发现了一个属于戴姆勒公司(Daimler AG)的Git门户网站。戴姆勒是一家德国汽车公司,旗下拥有梅赛德斯-奔驰汽车品牌。
Kottmann告诉ZDNet,他可以在戴姆勒的代码托管门户上注册一个帐户然后下载580多个Git存储库,其中包含了梅赛德斯奔驰货车上安装的车载逻辑单元(OLU)的源代码。
什么是OLU?
根据戴姆勒的网站,OLU是介于汽车硬件和软件之间的一个组件,它负责将车辆连接到云端。
戴姆勒表示,OLU简化了对实时车辆数据的技术访问和管理并允许第三方开发人员创建从奔驰货车检索数据的应用程序。
这些应用程序通常用于跟踪货车在路上的情况、跟踪货车的内部状态或用于冷冻货车以防盗窃情况发生。
不安全的GitLab安装泄漏了OLU代码
Kottmann告诉ZDNet,他发现戴姆勒的GitLab服务器使用了一些简单的东西如Google dorks(专门的Google搜索查询)。
GitLab是一个基于web的软件包,各大公司用它来集中处理Git存储库。
Git是一种专门用于跟踪源代码更改的软件,它允许多人工程团队编写代码,然后将代码同步到一个中央服务器–在本例中则是戴姆勒基于Gitlab的网页门户。
Kottmann告诉ZDNet:“当我感到无聊的时候,我经常会寻找有趣的GitLab实例,大多数情况下都是使用简单的Google dork,对于几乎没有考虑到安全设置这件事一直让我感到惊讶。”
Kottman表示,戴姆勒未能实施账户确认流程,而这使其能使用一个不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册一个账户。
这位研究人员称,他从公司的服务器上下载了超580个Git存储库,他计划在周末将其公开并将文件上传到文件托管服务MEGA、Internet Archive和他自己的GitLab服务器等几个地方。
针对这一情况,ZDNet审查了一些泄漏的Git存储库。他们查看的文件中没有一个包含开源许可,这表明这这些文件都是不应该公开的专有信息。
泄露的项目包括梅赛德斯厢式货车OLU组件的源代码,另外还有树莓派图像、服务器图像、用于管理远程OLU的戴姆勒内部组件、内部文档、代码样本等等。
虽然一开始泄露的数据看起来无害,但负责审查数据的威胁情报公司告诉ZDNet,他们发现了戴姆勒内部系统的密码和API令牌。如果这些密码和访问令牌落到一些怀有坏心思的人手中则可能会被用来计划和发动针对戴姆勒云计算和内部 *** 的入侵。
现在,ZDNet和Under the Breach都已经跟戴姆勒公司取得了联系,该公司已经从GitLab服务器下载了这些数据。不过戴姆勒发言人没有回复记者的正式置评请求。
Kottmann告诉ZDNet,他打算把戴姆勒的源代码留在网上,直到该公司要求他删除源代码。
然而,关于Kottmann行为的合法性仍存在一些疑问,因为他没有在周末在线发布源代码之前试图通知公司。
而另一方面,GitLab服务器允许任何人注册一个帐户,有些人可能会将其解释为一个开放的系统。此外,ZDNet在今日早些时候审查的源代码并没有出现这是专有技术的警告。
(稿源:cnBeta,封面源自 *** 。)
近日,据Reddit上的帖子和Cyber Kendra上的一份报告显示,LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户,该组织此前入侵了NVIDIA和三星。 下面的截图由Lapsus发布,但很快被删除,由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps...
Hackernews 编译,转载请注明出处: Adafruit 披露了一个数据泄露事件,这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市,自2005年以来一直是开源硬...
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、...
Krebs On Security 周二警告称:黑客正越来越多地利用受感染的政府和警察部门的电子邮件账户,以从移动运营商、互联网服务提供商(ISP)和社交媒体公司榨取敏感的客户信息。周四,美国参议院内精通技术的议员之一表示,其对这份报告感到很是不安,并且已向科技企业和联邦机构发去询问,以了解此类活动...
Hackernews 编译,转载请注明出处: 一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能,以抗议乌克兰的战争,大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。 Node-ipc 是一个用于进程间通信的 JavaScrip...
虽然这家俄罗斯安全公司近几个月来已经失宠,但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件(没错,它真的叫阎罗王,字面上Yanluowang。)这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的,现在,卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费...