Nissan源代码泄漏因为用户名和密码都是admin

Nissan源代码泄漏因为用户名和密码都是admin

该集合的大小为20 GB,其中包括NissanConnect等一系列Nissan服务的源代码。

瑞士软件工程师Tillie Kottmann发现,日产北美的移动应用程序,市场研究工具,诊断工具和数据资产的源代码已在线泄漏。到目前为止,这是我们对数据泄漏的了解。

Nissan泄漏的源代码:

由于公司的Git服务器配置错误,日产的源代码被泄露。
该公司使用默认访问凭据(用户名和密码)admin / admin保护服务器的安全。

据报道,该公司的多个代码存储库已在网上公开。尚不清楚日产是否了解本身泄漏还是有人泄漏。

黑客论坛上的一则帖子解释发生了什么

公开的20 GB数据

根据Kottmann的说法,公开的存储库存储了Nissan North America的关键数据资产
该集合的大小为20 GB,其中包括NissanConnect等一系列Nissan服务的源代码

研究人员还发布了受泄漏影响的服务列表:

  • 日产NA Mobile应用
  • ASIST诊断系统软件的一部分
  • 经销商业务系统/经销商门户
  • 日产内部核心移动图书馆
  • 日产/英菲尼迪NCAR / ICAR服务
  • 客户获取和保留工具
  • 销售/市场研究工具和数据
  • 各种营销工具
  • 车辆物流门户
  • 车联网服务/日产车联网
  • 其他各种后端和内部工具

公开的数据包括公司的移动应用程序,日产ASIST诊断工具的某些部分,经销商业务系统,其内部核心移动库,经销商门户,市场研究工具和数据,日产/英菲尼迪NCAR / ICAR服务,客户获取和保留工具,车辆连接服务/ NissanConnect,车辆物流门户以及许多其他内部工具和后端。

Git服务器离线

在黑客开始在Telegram和其他黑客平台上共享Git服务器之后,Git服务器已于周四脱机。日产汽车承认了这一事件,目前正在进行调查。

在与Hackread.com,CTO Dotan Nahum和Spectral联合创始人的对话中,一个代码安全平台表示: 

疫情大流行期间,企业软件的采用率大大增加。但是,该软件的确带有固有风险,并且这些风险正在成倍增加。这种突破很可能发生的原因之一是由于影子IT问题,当组织中存在不可实施的安全策略之外的未知Git服务器时,就会发生这种情况。”

“这听起来似乎很少见,但无论大小组织都非常普遍。仍有待观察,我敢肯定,我们将很快发现日产汽车是否在保护其代码免受潜在攻击者方面做得很好,并且未通过包括机密,数据库密码,证书和客户数据公开任何其他信息。” Dotan建议。

该公司表示,“已意识到有关对日产机密信息和源代码的不当披露的指控。” 据报道该公司已展开调查。但是,科特曼指出,数据的洪流链接已经在线共享,因此,不管日产公司如何努力,它最终仍将落入未经授权的第三方的手中。