Jak Nissan swój kod opublikował

Marcin Sarna, 11.01.2021 r.

Wystarczyło zostawić admin:admin na GitHubie.

Kody źródłowe należące do Nissana wyciekły do sieci po błędnej konfiguracji repozytorium Git. Nissan miał rzekomo obsługiwać serwer Bitbucket Git z domyślnymi poświadczeniami admin:admin.

Problem dotknął amerykański oddział firmy

Najwyraźniej kod źródłowy aplikacji mobilnych i narzędzi wewnętrznych opracowanych i używanych przez Nissan North America wyciekł do Internetu po tym, jak firma źle skonfigurowała jeden ze swoich serwerów Git. Wyciek pochodzi z serwera Git, który został praktycznie wystawiony na publiczny dostęp dla każdego posiadającego dostęp do sieci Internet. Jak? Został on skonfigurowany z domyślną kombinacją nazwy użytkownika i hasła admin:admin. Tak przynajmniej wynika póki co z informacji przekazanych przez szwajcarską inżynier oprogramowania Tillie Kottmann.

Kottmann, która dowiedziała się o wycieku z anonimowego źródła i przeanalizowała dane Nissana w poniedziałek, powiedziała, że repozytorium Git zawiera kod źródłowy:

Nissan NA (aplikacja mobilna)
niektóre elementy narzędzia diagnostycznego Nissan ASIST
Dealer Business Systems / Dealer Portal
Nissan internal core mobile library
usługi Nissan/Infiniti NCAR/ICAR
pewne narzędzia dotyczące utrzymania i zdobywania klientów
różnego rodzaju narzędzia marketingowe
software związany z usługą Nissan Connect
inne mechanizmy backendowe i narzędzia

Mid IT Recruiter 6000 - 8000 PLN Formy umowy: Umowa zlecenie B2B / Kontrakt

Warszawa

Aplikuj

Fullstack Developer 14000 - 22000 PLN Formy umowy: Umowa o pracę B2B / Kontrakt

Warszawa

Aplikuj

ECM Specialist / Consultant 20000 - 40000 PLN Formy umowy: Umowa o pracę B2B / Kontrakt

Warszawa

Aplikuj

Key Account Manager (Usługi HR) 7000 - 10000 PLN Formy umowy: Umowa zlecenie B2B / Kontrakt

Warszawa

Aplikuj

Key Account Manager Formy umowy: Umowa o pracę B2B / Kontrakt

Warszawa

Aplikuj

Reakcja Japończyków

Serwer Git (instancja Bitbucket) został wyłączony od razu po tym, jak w sieci zaczęły krążyć dane w postaci linków torrentowych udostępnianych na kanałach Telegrama i forach hakerskich. Po otrzymaniu komentarza rzecznik Nissana potwierdził incydent.

Nissan przeprowadził natychmiastowe dochodzenie w sprawie niewłaściwego dostępu do zastrzeżonego kodu źródłowego firmy. Traktujemy tę sprawę poważnie i jesteśmy przekonani, że żadne dane osobowe konsumentów, sprzedawców lub pracowników nie były dostępne w związku z tym incydentem związanym z bezpieczeństwem. System, którego dotyczy problem, został zabezpieczony. Jesteśmy przekonani, że w ujawnionym kodzie źródłowym nie ma informacji, które mogłyby narazić konsumentów lub ich pojazdy na ryzyko

Sprawdź oferty pracy na TeamQuest

Szwajcarscy badacze natrafili na trop afery z serwerem Git Nissana po tym, jak w maju 2020 roku znaleźli podobnie źle skonfigurowany serwer GitLab, z którego wyciekł kod źródłowy różnych aplikacji i narzędzi Mercedes Benz. Mercedes ostatecznie przyznał się do wycieku, a Kottmann, która również wtedy aktywnie uczestniczyła w badaniu tego wycieku danych, usunąła je ze swojego serwera na żądanie firmy.

Cóż, przynajmniej Nissan nie użył jednego z tych haseł.

Poprzedni artykuł Rady od programisty z 40-letnim doświadczeniem

Następny artykuł Thonny - proste IDE do Pythona