Wyciekł kod źródłowy Nissana
W tym tygodniu wypłynął kod źródłowy aplikacji mobilnych i narzędzi wewnętrznych używanych przez Nissan North America. Firma prawdopodobnie miała źle skonfigurowany jeden ze swoich serwerów Git.
Źle skonfigurowane serwery przyczyną wycieku danych
Całą sprawę rozgryzła i rozpowszechniła na swoim Twitterze pochodząca ze Szwajcarii programistka Tillie Kottmann. Ujawniła, że wyciek informacji najprawdopodobniej pochodzi z serwera Git, który został źle zabezpieczony. Po jego założeniu nie zmieniono danych loginów i haseł. Ustawione były standardowe zapisy admin/admin.
https://twitter.com/antiproprietary/status/1346238602536214528
Kottmann przeanalizowała wyciek danych i ujawniła, że w kodzie znaleźć można było informacje dotyczące:
- aplikacji mobilnych Nissan NA,
- niektórych części narzędzia diagnostycznego Nissan ASIST,
- Dealer Business Systems/Dealer Portal,
- wewnętrznej biblioteki mobilnej Nissana,
- usług takich jak Nissan/Infiniti NCAR/ICAR,
- narzędzia do pozyskiwania i utrzymywania klientów,
- narzędzia badania rynku wraz z danymi,
- narzędzia marketingowe,
- portalu logistyki pojazdów,
- usług związanych z pojazdem (Nissan connect Things),
- backendu i narzędzi wewnętrznych.
Jak wykryto wyciek, serwer został w tempie natychmiastowym odłączony od sieci, a Kottmann po tym, jak skontaktowała się z nią firma, usunęła pliki ze swojego serwera. Dane jednak jak do sieci trafiły, tak już tam zostały i krążą po różnorodnych forach czy torrentach.
Nissan wszczął śledztwo
Na odpowiedź poszkodowanej firmy nie trzeba było długo czekać. Krótko po opublikowaniu przez Kottmann wycieku danych, do głosu doszedł rzecznik Nissana, który potwierdził powyższe rewelacje.
– Nissan od razu przeprowadził dochodzenie w sprawie niewłaściwego dostępu do zastrzeżonego kodu źródłowego firmy. Traktujemy tę sprawę poważnie i jesteśmy przekonani, że żadne dane osobowe konsumentów, sprzedawców lub pracowników nie zostały upublicznione w związku z tym incydentem – napisał reprezentant Nissana dla serwisu ZDNet. – System, którego dotyczy problem, został zabezpieczony. Jesteśmy przekonani, że w ujawnionym kodzie źródłowym nie ma informacji, które mogłyby narazić klientów lub ich pojazdy na ryzyko.
Nissan nie jest jedynym producentem pojazdów, któremu zdarzyła się taka wpadka. Jeszcze w maju 2020 roku z podobnym problemem mierzył się Mercedes. Świat dzienny ujrzały wówczas dane z kodu źródłowego komponentów jednego z ich “inteligentnych samochodów” dostawczych.
I wówczas odkrycia dokonała Kottmann. Doniosła, że udało jej się zarejestrować na portalu hostingowym Daimlera (niemieckiego producenta samochodów powiązanego z Mercedesem), a następnie pobrać ponad 580 repozytoriów Git zawierających kod źródłowy pokładowych jednostek logicznych zainstalowanych w samochodach Mercedesa.
Zdjęcie główne artykułu pochodzi z twitter.com.