Спецпроекты

Из-за кривых настроек безопасности в Сеть утекли исходные коды бортовых компьютеров Mercedes

Безопасность Техника

Программист с помощью Google нашел практически общедоступные репозитории Git с исходным кодом бортовых компьютерных компонентов Mercedes-Benz и выложил их содержимое в открытый доступ.

Нашел и поделился

Исходные коды умных автомобилей Mercedes-Benz оказались в общем доступе из-за некорректных настроек безопасности. Швейцарский программист Тилл Коттманн (Till Kottmann) обнаружил веб-портал GitLab, принадлежащий компании Daimler AG, производителю «мерседесов», без особого труда смог зарегистрироваться на нем и получил возможность выкачать более 580 репозиториев, содержащих исходные коды «бортовых логических элементов» (onboardlogicunits — OLU), устанавливаемых в минифургоны Mercedes-Benz.

Как пишет ZDNet, данные в основном относились к программным оболочкам автомобильных компонентов, но сверх того там обнаружились пароли и токены API внутренних систем Daimler, а также образы для RaspberryPi, образы серверов, внутренняя документация, компоненты для управления удаленными OLU и многое другое.

Что характерно, Коттманн моментально опубликовал все эти данные на других ресурсах, включая файлообменник MEGA. Связаться с Daimler он даже не пытался, что заставляет задаться вопросом о законности его действий. С другой сторон, сервер GitLab, где хранились утекшие данные, позволяет заводить аккаунты всем желающим.

Просто из интереса

После обращения ZDNet и издания Under The Breach в Daimler, доступ к серверу GitLab, был перекрыт. От комментариев компания отказалась.

mers600.jpg
В Сети нашлись бесхозные коды доступа к бортовым компьютерам Mercedes

Коттманн заявил, что оставит исходники Daimler в открытом доступе, по крайней мере до тех пор, пока представители компании не обратятся к нему с требованием их удалить. Что касается обнаружения сервера Daimler, то, как отметил программист, он часто ищет «интересные» репозитории. Сервер Daimler он нашел простым поиском в Google.

«Git в принципе создавался для совместной работы над ПО с открытым исходным кодом, и часто рассматривается как открытая система в целом, так что если Daimler разместил в своих репозиториях проприетарный код, его можно больше таковым не считать, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Однако действия Коттманна действительно вызывают вопросы, если не в плане законности, то в плане этики. И если в ближайшее время он получит от автопроизводителя досудебную претензию или полноценный иск, в этом не будет ничего удивительного».