Исходные коды компании Nissan утекли из-за неверной конфигурации Git-сервера с активной учеткой admin/admin



    По информации портала ZDNet, из-за неверно сконфигурированного сервера Git на Bitbucket в открытый доступ оказались выложены данные внутренних Git-репозиториев компании Nissan North America.

    IT-эксперт Тилли Коттманн (Tillie Kottmann) первым обнаружил, что автопроизводитель по какой-то причине оставил на своем Git-сервере активную учетку по умолчанию с логином и паролем admin/admin.

    Коттманн пояснил, что полный дамп с утечкой всех Git-репозиториев от Nissan NA занимает 18.4 ГБ, в него входят следующие исходные коды и разработки компании:

    • мобильные приложения Nissan NA;
    • элементы и средства диагностики ASIST;
    • компоненты дилерских бизнес-систем и дилерский портал;
    • основной модуль мобильной библиотеки Nissan;
    • диагностические утилиты и сервисы Nissan/Infiniti — NCAR / ICAR;
    • инструменты для привлечения и удержания клиентов;
    • маркетинговые инструменты, включая анализ продаж, исследование рынка, а также данные, полученные с их помощью;
    • портал транспортной логистики;
    • сервис подключения к автомобилю различных устройств — Nissan connect things;
    • серверные бэкенды и внутренние инструменты компании.

    Утекшие данные Nissan.

    Ссылку на торрент-файл с этой утечкой были опубликованы в Telegram-каналах и на хакерских форумах.


    Коттманн успел бегло проанализировать данные и обнаружил, что в диагностической системе ASIST шифрование пароля выполняется алгоритмом RC4 с единственным ключом «Amalesh».

    Nissan подтвердила ZDNet, что в курсе утечки. Сейчас компания занимается расследованием этого инцидента. Специалисты Nissan также отключили Git-сервер, чтобы минимизировать дальнейшие проблемы с раскрытием конфиденциальной информации и исходного кода Nissan. Компания не пояснила, сколько времени информация была легко доступна извне, а также что еще было скачено с серверов компании во время этого инцидента.

    В мае прошлого года Тилли Коттманн смог скачать исходные коды компонентов «умного автомобиля», устанавливаемые в микроавтобусах Mercedez-Benz. Оказалось, что Daimler позволял любому пользователю зарегистрироваться на одном из своих локальных серверов GitLab, а затем можно было загружать Git-репозитории, содержащие исходный код Mercedes.

    Комментарии 24

      0

      Не могу представить, где эти исходники можно использовать.

        +5
        для поиска и эксплуатации уязвимостей, например
          –2

          Пока авто без интернета, бояться нечего.

          +16

          Люди, которые занимаются чип-тюнингом, разлочкой функций, скруткой пробегов, работой с ЭБУ и прочей радостью на стыке айти и автосервиса, могут там много для себя интересного найти.

            0
            там такой жила откроется… Начнут ломать программы для диагностики и настройки.
            +1

            Там же ещё и маркетинговая информация, аналитика по продажам. Что-то от дилерских систем, что потенциально можно использовать для атак уже и на самих диллеров.

              +3
              Ну к примеру для конфигурирования своего авто без обращения в дилерский центр.
              Притом уже давно сложилась практика отключения «некупленных» опций чисто программно.
              То есть зачастую авто соседних комплектаций с разницей в несколько тысяч $$ отличаются лишь «галочками» в конфигурации… Притом иногда это реально «тыкнуть галочки» в интерфейсе диагностического устройства, иногда — слегка пропатчить файлики прошивок.
              Соответственно кто-то себе обеспечит экономию, кто-то задействует в гаражном бизнесе.

                0
                Купишь машину с пробегом в 1км, а по факту там с автопарка с 500000км
                0

                Чего добивался уважаемы амалеш теми сабстрингами?

                  0
                  Предполагаю, что он добивался «AmalesH» :)
                  0
                  Забавно, но на курсе ниссановских акций эта утечка сказалась практически никак — видимо, никаких шокирующих откровений внутри ждать не стоит
                    +3

                    Забавно, но если писать опен-сурс, то его невозможно слить или украсть. Пишите опен-сурс код и будет всем счастье )

                      +2
                      Боятся автопроизводители. Частично грязных трусов (toyota с ее 81514 косяками) частично репутационных проблем — модифицированная умельцем прошивка ESP, приведшая к смертельному дтп в общем инфофоне будет выглядеть как "<марка> убила человека", а не «авто, пропатченный Васей Пупкиным ...».
                        0
                        модифицированная умельцем прошивка ESP, приведшая к смертельному дтп в общем инфофоне будет выглядеть как "<марка> убила человека", а не «авто, пропатченный Васей Пупкиным ...».

                        будто те, кому надо, не разберут прошивку ESP и без исходных кодов…
                        или заменят ЭБУ на другой аналогичный (вспоминаются кастомы вроде Января)...

                          0
                          Вопрос только в количестве. Да и те кто разобрал — не очень-то спешат выкладывать все это на паблик — монетизируют.
                          Кастомы типа января — с этим чуть проще: во-первых скорее атрибут переживших 2-3 «жизни» авто, во-вторых в случае дтп инфоакцент будет на «кустарно модифицированное».
                          0

                          В эксплуатации с прошлого века еще написано что модификации такого типа делаются на страх и риск пользователя. Так что проблем у Тойоты не будет.
                          Меня удивляет другое — неужели нельзя блокировать admin/admin автоматически через н-ное количество времени. Реально полезная фича же.
                          Допустим можно устанавливать учетку с легким паролем максимум на 10 дней, а потом блок и разблокировка по имейлу..

                            +1
                            В эксплуатации с прошлого века еще написано что модификации такого типа делаются на страх и риск пользователя. Так что проблем у Тойоты не будет.
                            Это если не брать в расчет хайповую журналистику со всякими «ученый изнасиловал журналиста» и «первое чем заинтересовался Папа были публичные дома»…
                            А по факту — кто громче орет на базаре — у того и профит.

                            Меня удивляет другое — неужели нельзя блокировать admin/admin автоматически через н-ное количество времени. Реально полезная фича же.
                            Притом скорее всего в installation manual таковое действие даже выделено жирным шрифтом… но увы… (
                        0

                        То есть скоро можно будет прошивать дебильные встроенные навигаторы нормальными картами, например? Даже на старых машинах? Это было бы прекрасно.

                          0
                          Максимум разлочивать «не свой» регион например. А вот взять и прошить навителом/гуглом/яндексом — это нереально…
                            0
                            Ну может выше речь была про актуальные/детализированные карты, а не навигаторы.
                              0
                              Честно говоря не попадались вменяемые карты в штатной навигации. Обычно уг, которое владелец вынужден терпеть только в силу «штатности» и зачастую глубокой интеграции дисплея/карт в остальные компоненты авто. Притом как правило «собственного» формата = подсунуть что-то получше нереально.
                          0

                          Интересно посмотреть исходные коды Volkswagen, не только дизельные.

                            0
                            Где-то находил инфу мол у VAG в медиасистеме используется операционка QNX
                            0
                            Чем-то напомнило ситуацию со взломом аккаунта Трампа)

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое