Исходный код компонентов бортового устройства «умного автомобиля» Mercedez-Benz был опубликован в Сети. За это стоит поблагодарить швейцарского инженера-программиста и хакера-любителя Тиля Коттманна (Till Kottmann), который обнаружил GitLab-сервер, принадлежащий немецкой автомобильной компании Daimler AG.
Особых усилий для слива данных не потребовалось. По словам Коттманна, он смог зарегистрировать на подложную почту аккаунт на ресурсе Daimler AG, где хранятся исходные коды. После этого у эксперта появилась возможность скачать 580 Git-репозиториев, содержащих код компонентов бортовых логических модулей (Onboard Logic Unit, OLU), установленных в автомобилях Mercedez.
OLU представляет собой компонент, находящийся между аппаратным и программным обеспечением автомобиля, который соединяет транспортное средство с облаком. Компания сообщает, что OLU «упрощает технический доступ и управление данными о транспортном средстве в реальном времени» и позволяет сторонним разработчикам создавать приложения, извлекающие данные из автомобилей Mercedes.
Коттманн указывает, что в утечке исходного кода этих компонентов стоит винить незащищенную установку GitLab, т.к. Daimler не внедрила процесс подтверждения учетной записи, что позволило ему зарегистрировать учетную запись, используя несуществующую корпоративную электронную почту Daimler.
Не устаю поражаться, насколько мало внимания компании уделяют настройкам безопасности. — Тиль Коттманн.
Утечка включала исходный код компонентов OLU Mercedes, а также образы Raspberry Pi, образы серверов, внутренние компоненты Daimler для управления удаленными OLU, внутреннюю документацию, образцы кода, пароли и токены API для внутренних систем Daimler.
Сообщается, что, загрузив репозитории с сервера компании, Котманн открыто опубликовал их в Сети. Оценив риски, издание ZDNet, которому Котманн дал интервью о своей добыче, связалось с Daimler, сообщив об утечке данных, и компания отключила GitLab-сервер. Официальных комментариев не было.
Напомним, в прошлом году в начинке умного Mercedes-Benz произошел сбой, в результате чего приложение, используемое для нахождения припаркованного автомобиля, его удаленной разблокировки и запуска, вдруг стало отображать данные из других учетных записей. В аккаунтах автовладельцев появилась чужая информация, в том числе имена других владельцев автомобилей, их последняя активность (недавно посещенные места и местоположение в режиме реального времени), номера телефонов и пр. Причем в одной учетной записи могли отображаться данные сразу нескольких автовладельцев.
Читайте также на АКБ:
