TeamQuest Blog

Jak Nissan swój kod opublikował

Jak Nissan swój kod opublikował

Marcin Sarna , 11.01.2021 r.

Wystarczyło zostawić admin:admin na GitHubie.

Kody źródłowe należące do Nissana wyciekły do sieci po błędnej konfiguracji repozytorium Git. Nissan miał rzekomo obsługiwać serwer Bitbucket Git z domyślnymi poświadczeniami admin:admin.

Problem dotknął amerykański oddział firmy

Najwyraźniej kod źródłowy aplikacji mobilnych i narzędzi wewnętrznych opracowanych i używanych przez Nissan North America wyciekł do Internetu po tym, jak firma źle skonfigurowała jeden ze swoich serwerów Git. Wyciek pochodzi z serwera Git, który został praktycznie wystawiony na publiczny dostęp dla każdego posiadającego dostęp do sieci Internet. Jak? Został on skonfigurowany z domyślną kombinacją nazwy użytkownika i hasła admin:admin. Tak przynajmniej wynika póki co z informacji przekazanych przez szwajcarską inżynier oprogramowania Tillie Kottmann.

Kottmann, która dowiedziała się o wycieku z anonimowego źródła i przeanalizowała dane Nissana w poniedziałek, powiedziała, że repozytorium Git zawiera kod źródłowy:

  • Nissan NA (aplikacja mobilna)
  • niektóre elementy narzędzia diagnostycznego Nissan ASIST
  • Dealer Business Systems / Dealer Portal
  • Nissan internal core mobile library
  • usługi Nissan/Infiniti NCAR/ICAR
  • pewne narzędzia dotyczące utrzymania i zdobywania klientów
  • różnego rodzaju narzędzia marketingowe
  • software związany z usługą Nissan Connect
  • inne mechanizmy backendowe i narzędzia

Reakcja Japończyków

Serwer Git (instancja Bitbucket) został wyłączony od razu po tym, jak w sieci zaczęły krążyć dane w postaci linków torrentowych udostępnianych na kanałach Telegrama i forach hakerskich. Po otrzymaniu komentarza rzecznik Nissana potwierdził incydent.

Nissan przeprowadził natychmiastowe dochodzenie w sprawie niewłaściwego dostępu do zastrzeżonego kodu źródłowego firmy. Traktujemy tę sprawę poważnie i jesteśmy przekonani, że żadne dane osobowe konsumentów, sprzedawców lub pracowników nie były dostępne w związku z tym incydentem związanym z bezpieczeństwem. System, którego dotyczy problem, został zabezpieczony. Jesteśmy przekonani, że w ujawnionym kodzie źródłowym nie ma informacji, które mogłyby narazić konsumentów lub ich pojazdy na ryzyko

Sprawdź oferty pracy na TeamQuest

Szwajcarscy badacze natrafili na trop afery z serwerem Git Nissana po tym, jak w maju 2020 roku znaleźli podobnie źle skonfigurowany serwer GitLab, z którego wyciekł kod źródłowy różnych aplikacji i narzędzi Mercedes Benz. Mercedes ostatecznie przyznał się do wycieku, a Kottmann, która również wtedy aktywnie uczestniczyła w badaniu tego wycieku danych, usunąła je ze swojego serwera na żądanie firmy.

Cóż, przynajmniej Nissan nie użył jednego z tych haseł.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej