В Сети опубликован исходный код бортового устройства Mercedes-Benz
Компания Daimler позволяла любому пользователю зарегистрироваться на одном из своих локальных GitLab-серверов.
Исходный код компонентов «умного автомобиля» Mercedez-Benz был опубликован в Сети. Утечку данных выявил швейцарский инженер-программист Тилл Коттманн (Till Kottmann), который обнаружил GitLab-сервер, принадлежащий немецкой автомобильной компании Daimler AG.
Как сообщил Котман изданию ZDNet, ему удалось зарегистрировать учетную запись на Git-ресурсе Daimler, а затем загрузить с сервера компании более 580 Git-репозиториев с исходным кодом бортовых логических модулей (Onboard Logic Unit, OLU), установленных в автомобилях Mercedez.
OLU представляет собой компонент, находящийся между аппаратным и программным обеспечением автомобиля, который соединяет транспортное средство с облаком . Как сообщается на сайте компании, OLU «упрощает технический доступ и управление данными о транспортном средстве в реальном времени» и позволяет сторонним разработчикам создавать приложения, извлекающие данные из автомобилей Mercedes.
По словам исследователя, Daimler не внедрила процесс подтверждения учетной записи, что позволило ему зарегистрировать учетную запись на официальном GitLab-сервере компании, используя несуществующую корпоративную электронную почту Daimler. Загрузив репозитории с сервера компании, Котман опубликовал их в Сети.
Утечка включала исходный код компонентов OLU Mercedes, а также образы Raspberry Pi, образы серверов, внутренние компоненты Daimler для управления удаленными OLU, внутреннюю документацию, образцы кода, а также пароли и токены API для внутренних систем Daimler.
ZDNet сообщил Daimler об утечке данных, и компания отключила GitLab-сервер.