El código fuente de la unidad lógica a bordo (OLU) de Mercedes-Benz se filtra en línea


daimler-van.jpg

Imagen: Daimler

El código fuente de los componentes de «automóviles inteligentes» instalados en las furgonetas Mercedez-Benz se filtró en línea durante el fin de semana, según ha podido saber ZDNet.

La fuga ocurrió después de Hasta Kottmann, un ingeniero de software package con sede en Suiza, descubrió un portal internet Git que pertenece a Daimler AG, la compañía automotriz alemana detrás de la marca de automóviles Mercedes-Benz.

Kottmann le dijo a ZDNet que pudo registrar una cuenta en el portal de alojamiento de código de Daimler y luego descargar más de 580 repositorios Git que contienen el código fuente de las unidades lógicas (OLU) instaladas en las furgonetas Mercedez.

¿Qué es una OLU?

Según el sitio website de Daimler, la OLU es un componente que se encuentra entre el hardware y el application del automóvil y «conecta los vehículos a la nube».

Daimler dice que la OLU «simplifica el acceso técnico y la administración de los datos del vehículo en vivo» y permite a los desarrolladores externos crear aplicaciones que recuperan datos de las camionetas Mercedes.

Estas aplicaciones generalmente se emplean para funciones como rastrear camionetas mientras se encuentra en la carretera, rastrear el estado interno de una camioneta o para congelar furgonetas en caso de robo.

Instalación no segura de GitLab pierde código OLU

Kottmann le dijo a ZDNet en una entrevista que encontró que el servidor GitLab de Daimler usaba algo tan easy como Google Dorks (consultas de búsqueda especializadas de Google).

GitLab es un paquete de program basado en la net que las empresas utilizan para centralizar el trabajo en los repositorios de Git.

Git es un software program especializado para realizar un seguimiento de los cambios en el código fuente y permite a los equipos de ingeniería de varias personas escribir código y luego sincronizarlo con un servidor central, en este caso, el portal world wide web basado en GitLab de Daimler.

«A menudo busco instancias interesantes de GitLab, principalmente con simples Google Dorks, cuando estoy aburrido, y me sigue sorprendiendo lo poco que parece pensar en la configuración de seguridad», dijo Kottmann a ZDNet.

«Honestamente, fue un hallazgo muy afortunado mientras revisaba algunas marcas que no había verificado antes con la esperanza de encontrarme como pequeños contratistas o algo así».

Kottmann dice que Daimler no pudo implementar una lista blanca para el proceso de registro, lo que le permitió registrar una cuenta en el servidor GitLab oficial de la compañía, incluso sin un correo electrónico corporativo de Daimler.

El investigador dice que descargó más de 580 repositorios Git del servidor de la compañía, que puso a disposición del público durante el fin de semana, cargando los archivos en varios lugares, como el servicio de alojamiento de archivos MEGA, el Archivo de Internet y en su propio servidor GitLab.

daimler-telegram.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/18/45ec4807-3e46-424f-b7d6-4a702a8e1325/daimler-telegram.png

Un canal de Telegram donde Kottmann publicó enlaces a los datos de Daimler.

Imagen: ZDNet

daimler-repository.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/05/18/61bf86c6-ec99-4773-9eb2-f90669cebd6a/daimler-repository.png

Imagen del propio servidor GitLab de Kottmann que aloja los datos de Daimler.

Imagen: ZDNet

ZDNet ha revisado algunos, no todos, los repositorios filtrados de Git. Ninguno de los archivos que vimos incluía una licencia de código abierto, lo que sugiere que se trataba de información patentada que no debía hacerse pública.

Los proyectos filtrados incluyeron el código fuente de los componentes OLU de las furgonetas Mercedes, pero también imágenes de Raspberry Pi, imágenes de servidor, componentes internos de Daimler para administrar OLU remotas, documentación interna, muestras de código y más.

Si bien la filtración parecía ser inofensiva al principio, la firma de inteligencia de amenazas Bajo la brecha, que también revisó los datos, le dijo a ZDNet que descubrieron contraseñas y tokens API para los sistemas internos de Daimler. Estas contraseñas y tokens de acceso, en las manos equivocadas, podrían usarse para planificar y montar intrusiones futuras contra la nube y la crimson interna de Daimler.

Después de que ZDNet y Under the Breach se comunicaran hoy con Daimler, la compañía retiró el servidor GitLab de donde Kottmann descargó los datos. Un portavoz de Daimler no devolvió una solicitud official de comentarios.

Kottmann le dijo a ZDNet que tiene la intención de dejar el código fuente de Daimler en línea hasta que la compañía se comunique para solicitar que lo elimine.

Sin embargo, quedan algunas preguntas sobre la legalidad de las acciones de Kottmann, ya que no intentó notificar a la compañía antes de publicar su código fuente en línea durante el fin de semana.

Por otro lado, el servidor GitLab permitió a cualquiera registrar una cuenta, lo que algunos podrían interpretar como un sistema abierto. Además, el código fuente que ZDNet revisó hoy no contenía advertencias de que se trataba de tecnología patentada.



Enlace a la noticia primary