梅赛德斯奔驰源代码暴露通过错误配置的Git注册系统

奔驰公司设计的智能汽车零部件的源代码被发现通过一个错误配置的Git注册系统在网上公开。

这个源代码是由软件工程师Till Kottmann发现的，今天首先由ZDNet报道，是在梅赛德斯-奔驰母公司戴姆勒公司的Git门户网站上发现的。Kottman可以在门户网站上免费注册一个帐户，然后下载580个Git存储库，其中包括属于Mercedes vans的源代码。

存储库本身是通过谷歌搜索找到的。Kottmann说他经常寻找有趣的GitLab实例，很幸运地发现了这个。

尽管这些数据主要包括与智能汽车组件相关的信息，但进一步的分析还发现了戴姆勒内部系统的密码和应用程序编程接口令牌。此后，Git存储库一直处于离线状态。

“在这个GitLab实例,糟糕的演员可以注册一个账户戴姆勒code-hosting门户网站和下载超过580 Git存储库包含奔驰源代码和出售这些信息对公司的竞争对手,”克里斯•DeRamus副总裁技术、云安全实践安全操作公司Rapid7 Inc .)告诉SiliconANGLE。“此外，黑客可以利用戴姆勒系统暴露的密码和API令牌，访问和窃取该公司更多的敏感信息。”

他还说，这一事件凸显出，在部署云资源之前，开发人员和安全团队必须如何主动识别遵从性和安全问题。他说:“组织不应该主要依赖运行时安全性，而应该通过在持续集成和持续交付(CI/CD)管道早期采取预防性措施来‘左移’。”“这种主动的方法将允许组织防止安全问题的发生，并使安全团队能够在泄漏发生之前捕获错误配置。”

源代码管理和安全公司Cycode Ltd.的联合创始人兼首席执行官Lior Levy指出，这再次表明源代码仍然是组织中关键的未受保护的资产。

Levy说:“这样一个主要组件的源代码和它所涉及的所有机密公司数据都是从内部服务器泄露的，这证明需要一个专门的系统来保护它。”“暴露的存储库包含API令牌和密码，以及技术配置和源代码，攻击者可以使用它进行漏洞研究，并对公司基础设施进行有针对性的攻击。”