日产公司源代码泄露

传统机动车制造厂商近来麻烦不断，继去年本田遭遇勒索软件攻击、奔驰数据泄露、伊始川崎重工和日产公司又接连曝出数据泄露事故。

本周一，日产北美公司一台配置错误（使用了默认的管理员用户名密码组合：admin/admin）的Bitbucket Git服务器的信息在Telegram频道和黑客论坛上开始传播，直到周三该服务器才脱机。

据悉，该服务器是存有日产北美公司开发和正在使用的移动应用程序和内部工具的源代码，目前已在线泄漏。

一位瑞士软件工程师Tillie Kottmann本周接受媒体采访时透露，他从匿名来源获悉泄漏，并于周一分析了日产数据，发现泄露的Git存储库包含以下源代码：

• 日产NA Mobile应用程序

• 部分日产ASIST诊断工具

• 经销商业务系统/经销商门户

• 日产内部核心移动代码库

• 日产/英菲尼迪NCAR/ICAR服务

• 客户获取与保留工具

• 销售/市场研究工具+数据

• 各种营销工具

• 车辆物流门户

• 车辆联网服务/日产联网

• 以及其他各种后端和内部工具

日产发言人已经向媒体确认了该数据泄露事件。一位日产汽车发言人在回复媒体询问的电子邮件中表示：“我们知道有关对日产汽车机密信息和源代码泄露的报道，我们认真对待此事件，并正在进行调查。”

值得注意的是，这不是瑞士研究人员Kottmann第一次发现汽车厂商Git服务器数据泄露。2020年5月，Kottmann曾发现类似配置错误的GitLab服务器泄露了各种梅赛德斯奔驰应用程序和工具源代码。

Kottmann在奔驰公司的Git代码托管门户网站上注册了一个账户，然后成功下载了580多个Git存储库，其中包含梅赛德斯货车中的板载逻辑单元（OLU）的源代码。（OLU是介于汽车硬件和软件之间的组件，负责“将汽车连接到云端”。）其他泄露数据还包括Raspberry Pi映像、服务器映像、用于管理远程OLU的内部Daimler组件、内部文档、代码示例等。

虽然这些泄露数据看上去人畜无害，但是威胁情报公司Under Breach在审计泄露数据后发现了戴姆勒内部系统的密码和API令牌。这些密码和访问令牌如果使用不当，可能会被用来计划和安装将来针对奔驰公司云服务和内部网络的攻击。

尼桑和奔驰公司Git服务器泄露的数据以源代码为主，事实上，源代码也是中国企业在线暴露和泄露的主要资产之一。

根据数字观星上周在安全牛发布的《数字资产暴露面风险报告》，系统源码和技术方案占据中国企业外部数据泄露类型61%（下图），分析发现泄露系统源码中含有密码密钥风险最高，也是众多运营单位用户最为关注的外部数据泄露风险。

由于知识共享、知识付费的兴起，越来越多的用户将自己编写的代码、文档作为经验、工具分享至第三方开源社区和知识付费平台。内部数据外泄，容易成为攻击者和黑客社工利用重要渠道，分析发现在Github和百度文库共享导致数据泄露比例高达60%。

此外，根据云安全联盟（CSA）2020年10月推出的《云计算11大威胁报告》，数据泄露威胁在2020年的调查中继续蝉联第一的位置，也是最严重的云安全威胁。而配置错误和变更控制不足则是2020年CSA云安全威胁榜单中出现的新威胁。

CSA认为，配置错误和变更控制不充分的关键原因包括：

• 云端资源的复杂性使其难以配置；

• 不要期望传统的控制和变更管理方法在云中有效；

• 使用自动化和技术，这些技术会连续扫描错误配置的资源。

近年来越来越多的企业都因为配置和变更的疏忽或意外通过云公开暴露资产、泄露数据，其中Elasticsearch数据库的多次大规模泄露事件尤其引人注目。