奔驰车载逻辑单元源代码遭泄露
上周,梅德赛斯-奔驰中安装的“智能汽车”组件源代码被泄露在网上。
研究人员发现奔驰品牌所属主体戴姆勒股份公司 (Daimler AG) 的一个 Git web 门户。他指出,自己能够在戴姆勒的代码托管门户上注册一个账户,之后下载包含车载逻辑单元 (OLUs) 源代码的580多个 Git 仓库。
OLU 简介
从戴姆勒网站上获悉,OLU 是一个组件,位于车辆的硬件和软件之间,“连接车辆和云端”。
网站指出,OLU“简化了对实时车辆数据的技术访问和管理”,并可使第三方开发人员创建能够从奔驰车检索数据的 app。这些 app 通常用于实现多种功能,如追踪正在行驶的汽车、追踪汽车的内部状况或在出现偷盗情况时冻结汽车。
不安全的 GitLab 安装程序泄露 OLU 源代码
研究人员表示,他使用了简单如 Google dorks(专门的谷歌搜索查询)的方法找到了戴姆勒的 GitLab 服务器。GitLab 是一款基于 web 的软件包,供企业用于集中处理 Git 仓库工作。Git 是一款专门用来追踪源代码变化的软件,可使多人工程团队编写代码,之后同步给一台中央服务器——在本案例中同步给戴姆勒基于 GitLab 的 web 门户。
研究人员表示,戴姆勒公司未能正确实现账户确认流程,从而导致他可以使用一个不存在的戴姆勒企业邮箱在该公司的官方 GitLab 服务器上注册账户。该研究员表示从该公司的服务器中下载了580个 Git 仓库,并在上周末将其公开,在多个位置上传,如文件托管服务 MEGA、Internet Archive 和他自己的 GitLab 服务器。
研究人员查看了其中一些遭泄露的 Git 仓库,结果发现所查看的文件中均未包含任何开源许可,表明这是并不打算公开的专有代码信息。
被泄露项目不仅包括奔驰 OLU 组件的源代码,而且还包括 Raspberry Pi 镜像、服务器镜像、用于管理远程 OLUs 的内部戴姆勒组件、内部文档、代码样本等等的源代码。
虽然刚开始这些源代码泄露看似无害,但威胁情报公司 Under the Breach 查看该数据后认为,他们发现了戴姆勒内部系统的密码和 API 令牌。这些密码和访问令牌如落入不法之徒手中可被用于攻击戴姆勒云和内部网络。
戴姆勒公司收到通知后撤掉研究人员用于下载该数据的 GitLab 服务器。该公司的一名发言人并未给出正式评论。
无论是对于开发人员亦或是拥有源代码的企业源代码都是他们极其珍贵的财务,稍有闪失将是不可想象的损失,GDCA数安时代建议个人开发者及源代码开发企业都应为源代码做好基础的安全保护措施。
代码签名证书对开发商在所有平台上使用并对其发布在网络上的应用软件和软件进行数字签名。代码签名可以提供和客户购买的压缩软件同样的安全性,包括发布者的名称,以及避免恶意软件入侵和其他危害。代码签名证书使用特殊的数字签名对发布者的身份和软件进行绑定。伴随着未签名代码一同出现的安全警告被含有软件发布者信息的通知所代替,从而避免用户放弃安装并增加下载率,代码签名会为安装过程增加信用度。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
美电子商务公司StorEnvy150万纯文本帐户数据泄漏
Storenvy是一家美国旧金山的初创公司,它是一个Mashup(混聚)类型的线上平台,以其在线商店建设和社交市场而闻名。目前StorEnvy数据库被黑客入侵,150万客户和商家的个人详细信息纯文本帐户数据泄漏,被转储到黑客论坛上免费下载。 根据网上公布的数据资料显示,被泄露的数据包含电子邮件,密码,全名,用户名,IP地址,城市,性别以及指向社交媒体资料的链接。 更糟糕的是,所有数据(例如密码)都以纯文本格式提供。在某些情况下,还可以看到订单详细信息,例如订单日期,订单号和购买中使用的付款方式。但是,显然,收货地址或支付卡数据不在数据库中。 尽管如此,所有这些数据加起来是黑客和网络犯罪分子进行网络钓鱼/恶意软件攻击,与身份盗用有关的欺诈并使用其他站点上的相同密码来破坏帐户的金矿。 在黑客论坛上交易的示例数据,在与一些Storenvy客户保持联系,他们确认他们已在电子商务网站上注册。 尽管尚不清楚数据泄露的确切年份,但基于大多数凭据仍在起作用的事实,该泄露似乎是最近的。或者,也可能是数据库包含非活动帐户,并且其密码长时间未更改。 值得注意的是,根据一些媒体报道,Storenvy在2019...
- 下一篇
CI实现方法之--Gitlba+Drone
写在前面:进入到云计算的PAAS时代,起源Google的Kubernetes无疑成为了PAAS云服务的落地平台。自2017年开始,K8s平台已经成为容器编排的事实标准,为组织设计和部署应用程序带来全新定义。在之后的几年里国有云,国外云厂商陆续在IAAS平台发布PASS层产品。在此基础上出现了CICD,即持续集成与持续交付是软件开发和交付中的实践。项目从最初是瀑布模型,到敏捷开发,再到现在的DevOps。这是现代开发人员构建出色的产品的技术路线。随着DevOps的兴起,出现了持续集成(Continuous Integration)、持续交付(Continuous Delivery) 、持续部署(Continuous Deployment) 的新方法。笔者基于自身需求做了如下测试,希望对同行有所助力,相关文章会持续更新。 一、测试前提条件 实验环境说明测试主机:阿里云主机操作系统:CentOS 7.7测试主机配置:2C,8G 主机名 公网IP 内网IP ROLE PORT node1 39.104.88.120 172.16.0.93 gitlab 80 node2 39.104.93.9...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7