情境示意圖,Photo by Daen van Beers on unsplash

一名瑞士軟體工程師Till Kottmann近日向ZDNet爆料,他在德國汽車大廠Mercedez-Benz母公司Daimler AG就地部署的GitLab伺服器上,發現一個配置問題,使他得以下載隸屬該公司的Git儲存庫,內含許多機密資訊,包括一個應用在Mercedes-Benz廂型車上的機載邏輯元件(Onboard Logic Unit,OLU) 原始碼。

Kottmann是藉由Google搜尋的特殊查詢語句(Google Dorks)功能,找到Daimler的GitLab伺服器,Google Dorks被視為一種駭客技術,可用來搜尋配置、網站或系統的安全漏洞,而Kottmann則說他無聊的時候就會這麼做,主要是在網路上搜尋有趣的GitLab實例,這次算是捕到了大魚。

他說Daimler因未實施帳號確認程序,讓他得以利用一個不存在的Daimler企業電子郵件帳號進行註冊,於是他便從Daimler的伺服器上下載了超過580個Git的儲存庫,並將它們上傳到共享的MEGA、Internet Archive與自己的GitLab伺服器。

除了Kottmann自己的發現之外,ZDNet邀請Under the Breach,另一媒體SiliconANGLE則邀請Rapid7來分析這批資料,顯示這些Git儲存庫上不只存放了OLU原始碼,也含有Daimler內部的用戶憑證與API令牌。

根據Daimler官網上的說明,OLU是Mercedes-Benz廂型車上一個創新的控制單元,用來串接硬體與軟體之間的互動,它可將汽車連結到雲端,簡化了即時車輛資訊的管理,也讓第三方得以快速開發支援車輛的第三方應用。

資安專家指出,這些外洩資料將讓競爭對手取得重要的資訊,而憑證或API令牌則允許駭客深入Daimler系統,挖掘更多的機密訊息。

在接獲ZDNet的詢問之後,Daimler已關閉了該GitLab伺服器,但並未提供任何評論。


Advertisement

更多 iThome相關內容