X

Mercedes-Benz:
Quellcode leakt über offen zugängliche Git-Server

Autos werden zunehmend zu fahrenden Computern - mit allen Folgen, die eine Branche zu erwarten hat, die sich bisher eher nicht mit IT-Sicherheit auseinandersetzen musste. Daimler gewährte nun unfreiwillig Unbefugten Zugang zu wichtigen Quellcodes.
Mercedes
19.05.2020  10:12 Uhr
Laut einem Bericht des US-Magazins ZDNet, der sich auf den Schweizer Sicherheitsforscher Till Kottmann beruft, handelte es sich um den Source Code für die Onboard Logic Units (OLUs) der Mercedes-Benz-Nutzfahrzeuge. Dabei handelt es sich um Komponenten der Bord-Elektronik, die unter anderem Schnittstellen anbieten, mit denen sich extern entwickelte Anwendungen verbinden können. Dem Vernehmen nach war es Kottmann gelungen, auf dem Entwickler-Portal des Daimler-Konzerns einen eigenen Nutzer-Account anzulegen, über den er dann Zugriff auf 580 Git-Repositories bekam. In diesen war der fragliche Quellcode enthalten. Hintergrund des Problems dürfte schlicht eine falsch konfigurierte Rechtevergabe gewesen sein, denn eigentlich sollten nur bestimmte Mitarbeiter Zugriff auf die Codes haben.

Mercedes-Benz AVTR: Daimler zeigt spektakuläres "Avatar"-Auto
videoplayer03:55

Umfangreiche Informationen

Den Git-Server im Unternehmensnetz konnte der Sicherheitsforscher außerdem einfach über eine etwas komplexere Google-Suchanfrage ausfindig machen. Schon dies hätte eigentlich nicht funktionieren dürfen, da das System vermutlich nur innerhalb des Konzernnetzes erreichbar sein dürfte - und von außen vielleicht über eine VPN-Verbindung.

In den zugänglichen Bereichen fanden sich nicht nur die Quellcodes für die OLUs, sondern auch viel weitergehendes Material, das Entwickler für ihre Arbeit benötigen. So unter anderem Raspberry Pi-Images für Testsysteme, interne Management-Tools, Dokumentationen und Code-Beispiele. Aber auch Passwörter und Token für Daimlers interne Dienste ließen sich aus den Daten herausholen. Der überwiegende Teil dürfte nicht geeignet sein, um ernsthafte Probleme zu verursachen, allerdings zeigt sich an dem Fall eben, dass hier eine ganze Industrie Lektionen über IT-Sicherheit zu lernen hat, die in der Tech-Branche selbst schon vor vielen Jahren absolviert wurden.

Siehe auch:

☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture