一名瑞士软件工程师Till Kottmann近日向ZDNet爆料,他在德国汽车大厂Mercedez-Benz母公司Daimler AG本地部署的GitLab服务器上,发现一个配置问题,使他得以下载隶属该公司的Git存储库,内置许多机密信息,包括一个应用在Mercedes-Benz厢型车上的主板逻辑(Onboard Logic Unit,OLU) 组件源码。
Kottmann是借由Google搜索的特殊查询语句(Google Dorks)功能,找到Daimler的GitLab服务器,Google Dorks被视为一种黑客技术,可用来搜索配置、网站或系统的安全漏洞,而Kottmann则说他无聊的时候就会这么做,主要是在网络上搜索有趣的GitLab实例,这次算是捕到了大鱼。
他说Daimler因未实施账号确认程序,让他得以利用一个不存在的Daimler企业电子邮件账号进行注册,于是他便从Daimler的服务器上下载了超过580个Git的存储库,并将它们上传到共享的MEGA、Internet Archive与自己的GitLab服务器。
除了Kottmann自己的发现之外,ZDNet邀请Under the Breach,另一媒体SiliconANGLE则邀请Rapid7来分析这批资料,显示这些Git存储库上不只存放了OLU源码,也含有Daimler内部的用户凭证与API令牌。
根据Daimler官网上的说明,OLU是Mercedes-Benz厢型车上一个创新的控制单元,用来串联硬件与软件之间的交互,它可将汽车连接到云计算,简化了即时车辆信息的管理,也让第三方得以快速开发支持车辆的第三方应用。
安全专家指出,这些外泄资料将让竞争对手取得重要的信息,而凭证或API令牌则允许黑客深入Daimler系统,挖掘更多的机密消息。
在接获ZDNet的询问之后,Daimler已关闭了该GitLab服务器,但并未提供任何评论。