据称,日产正在使用默认凭据admin / admin运行Bitbucket Git服务器。
日产北美公司开发和使用的移动应用程序和内部工具的源代码在该公司错误配置其一台Git服务器后已在线泄漏。
泄漏起源于被暴露在外,其默认的用户名和密码组合在互联网上一个Git服务器管理员/管理,一家总部位于瑞士的软件工程师告诉 网易科技 在本周接受采访。
Kottmann从匿名来源获悉泄漏,并在周一分析了日产数据,他说Git存储库包含以下源代码:
-
日产NA Mobile应用
-
日产ASIST诊断工具的某些部分
-
经销商业务系统/经销商门户
-
日产内部核心移动图书馆
-
日产/英菲尼迪NCAR / ICAR服务
-
客户获取和保留工具
-
销售/市场研究工具+数据
-
各种营销工具
-
车辆物流门户
-
车辆联网服务/日产联网
-
以及其他各种后端和内部工具
日产正在调查泄漏
Git服务器(一个Bitbucket实例)在周一开始以在Telegram频道和黑客论坛上共享的洪流链接的形式开始传播数据后,昨天脱机。
日产发言人伸手置评,证实了这一事件。
日产汽车销售代表 在一封电子邮件中对ZDNet表示: “我们知道有关对日产汽车的机密信息和源代码的不当披露的指控。我们认真对待此类事件,并正在进行调查 。”
瑞士研究人员在2020年5月发现类似配置错误的GitLab服务器后泄露了各种梅赛德斯奔驰应用程序和工具的源代码,从而获得了有关日产Git服务器的提示。
梅赛德斯最终承认泄漏,托管泄漏数据的科特曼也应公司要求将其从服务器中删除。
原文始发于微信公众号(Ots安全):Git配置错误导致日产源代码泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论