По информации портала ZDNet, из-за неверно сконфигурированного сервера Git на Bitbucket в открытый доступ оказались выложены данные внутренних Git-репозиториев компании Nissan North America.
IT-эксперт Тилли Коттманн (Tillie Kottmann) первым обнаружил, что автопроизводитель по какой-то причине оставил на своем Git-сервере активную учетку по умолчанию с логином и паролем admin/admin.
Коттманн пояснил, что полный дамп с утечкой всех Git-репозиториев от Nissan NA занимает 18.4 ГБ, в него входят следующие исходные коды и разработки компании:
- мобильные приложения Nissan NA;
- элементы и средства диагностики ASIST;
- компоненты дилерских бизнес-систем и дилерский портал;
- основной модуль мобильной библиотеки Nissan;
- диагностические утилиты и сервисы Nissan/Infiniti — NCAR / ICAR;
- инструменты для привлечения и удержания клиентов;
- маркетинговые инструменты, включая анализ продаж, исследование рынка, а также данные, полученные с их помощью;
- портал транспортной логистики;
- сервис подключения к автомобилю различных устройств — Nissan connect things;
- серверные бэкенды и внутренние инструменты компании.
Утекшие данные Nissan.
Ссылку на торрент-файл с этой утечкой были опубликованы в Telegram-каналах и на хакерских форумах.
Коттманн успел бегло проанализировать данные и обнаружил, что в диагностической системе ASIST шифрование пароля выполняется алгоритмом RC4 с единственным ключом «Amalesh».
Nissan подтвердила ZDNet, что в курсе утечки. Сейчас компания занимается расследованием этого инцидента. Специалисты Nissan также отключили Git-сервер, чтобы минимизировать дальнейшие проблемы с раскрытием конфиденциальной информации и исходного кода Nissan. Компания не пояснила, сколько времени информация была легко доступна извне, а также что еще было скачено с серверов компании во время этого инцидента.
В мае прошлого года Тилли Коттманн смог скачать исходные коды компонентов «умного автомобиля», устанавливаемые в микроавтобусах Mercedez-Benz. Оказалось, что Daimler позволял любому пользователю зарегистрироваться на одном из своих локальных серверов GitLab, а затем можно было загружать Git-репозитории, содержащие исходный код Mercedes.
isNikita
Не могу представить, где эти исходники можно использовать.
BioHazzardt
для поиска и эксплуатации уязвимостей, например
isNikita
Пока авто без интернета, бояться нечего.
acc0unt
Люди, которые занимаются чип-тюнингом, разлочкой функций, скруткой пробегов, работой с ЭБУ и прочей радостью на стыке айти и автосервиса, могут там много для себя интересного найти.
Maximuzzz
Там же ещё и маркетинговая информация, аналитика по продажам. Что-то от дилерских систем, что потенциально можно использовать для атак уже и на самих диллеров.
d-stream
Ну к примеру для конфигурирования своего авто без обращения в дилерский центр.
Притом уже давно сложилась практика отключения «некупленных» опций чисто программно.
То есть зачастую авто соседних комплектаций с разницей в несколько тысяч $$ отличаются лишь «галочками» в конфигурации… Притом иногда это реально «тыкнуть галочки» в интерфейсе диагностического устройства, иногда — слегка пропатчить файлики прошивок.
Соответственно кто-то себе обеспечит экономию, кто-то задействует в гаражном бизнесе.
OlgaKiren
Купишь машину с пробегом в 1км, а по факту там с автопарка с 500000км