梅赛德斯-奔驰车载逻辑单元(OLU)源代码在线泄露

ZDNet获悉，安装在梅赛德斯-奔驰(Mercedez-Benz)面包车上的智能汽车组件的源代码周末在网上泄露。

泄密事件发生之前，瑞士软件工程师蒂尔·科特曼(Till Kottmann)发现了戴姆勒(Daimler AG)旗下的一个Git门户网站。戴姆勒是梅赛德斯-奔驰(Mercedes-Benz)汽车品牌背后的德国汽车公司。

Kottmann告诉ZDNet，他可以在戴姆勒的代码托管门户上注册一个账户，然后下载580多个Git存储库，其中包含安装在梅赛德斯面包车上的车载逻辑单元(OLU)的源代码。

据戴姆勒网站介绍，OLU是介于汽车硬件和软件之间的一个组件，它将车辆与云端连接起来。

戴姆勒表示，Olu&34；简化了实时车辆数据的技术访问和管理，并允许第三方开发人员创建从梅赛德斯面包车检索数据的应用程序。

这些应用程序通常用于跟踪面包车在路上的情况，跟踪面包车的内部状态，或者在被盗的情况下冻结面包车。

Kottmann在今天的一次采访中告诉ZDNet，他发现戴姆勒的GitLab服务器使用的是像Google DOKS(专门的谷歌搜索查询)这样简单的东西。

GitLab是一个基于Web的软件包，公司使用它来集中处理Git存储库的工作。

Git是一款专门用于跟踪源代码更改的软件，它允许多人工程团队编写代码，然后将其同步到中央服务器--本例中是戴姆勒基于GitLab的门户网站。

考特曼告诉ZDNet，当我感到无聊的时候，我经常只是寻找有趣的GitLab实例，大多是简单的谷歌呆子，我一直惊讶于安全设置似乎几乎没有考虑过什么。

老实说，这只是一个非常幸运的发现，当时我正在查看一些我以前没有检查过的品牌名称，希望能找到一些小承包商之类的东西。

科特曼说，戴姆勒未能实施账户确认流程，这使得他能够使用一封不存在的戴姆勒公司电子邮件在公司的官方GitLab服务器上注册账户。

这位研究人员说，他从该公司的服务器上下载了580多个Git存储库，并在周末将其公之于众，并将文件上传到几个位置，如文件托管服务Mega、互联网档案馆和他自己的GitLab服务器。

ZDNet已经审查了一些--而不是全部--泄露的Git存储库。我们查看的文件中没有一个包含开放源码许可证，这表明这是不应该公开的专有信息。

泄露的项目包括梅赛德斯面包车OLU组件的源代码，但也包括Raspberry PI映像、服务器映像、用于管理远程OLU的内部戴姆勒组件、内部文档、代码示例等。

虽然泄密事件一开始看起来是无害的，但此次泄密事件中的威胁情报公司也对数据进行了审查，该公司告诉ZDNet，他们发现了戴姆勒内部系统的密码和API令牌。这些密码和访问令牌如果落入不法分子之手，可能会被用来计划和发动针对戴姆勒云和内部网络的未来入侵。

在ZDNet和Under Under今天都联系了戴姆勒之后，该公司关闭了Kottmann下载数据的GitLab服务器。戴姆勒发言人没有回复正式的置评请求。

Kottmann告诉ZDNet，他打算将戴姆勒的源代码放在网上，直到公司要求他将其删除。

然而，关于科特曼行为的合法性仍然存在一些疑问，因为他没有试图在周末将源代码发布到网上之前通知公司。

另一方面，GitLab服务器允许任何人注册帐户，有些人可能会认为这是一个开放的系统。此外，ZDNet今天早些时候审查的源代码没有包含这是专有技术的警告。