il codice sorgente meno protetto del mondo è di Nissan
Buongiorno cari lettori, oggi parleremo del codice sorgente di nissan e di come era protetto.
La collezione è grande 20 GB e comprende il codice sorgente di una serie di servizi Nissan, tra cui NissanConnect.
L'ingegnere software svizzero Tillie Kottmann ha scoperto che l'applicazione mobile di Nissan North America, gli strumenti di ricerca di mercato, gli strumenti di diagnostica e il codice sorgente del patrimonio di dati sono trapelati online. Ecco cosa sappiamo della fuga di dati finora.
Il codice sorgente di Nissan è trapelato:
Il codice sorgente di Nissan è trapelato a causa di un server Git mal configurato dell'azienda. L'azienda protegge il server con le credenziali di accesso predefinite (username e password) di admin/admin.
Secondo quanto riferito, sono stati esposti online più repository di codici della società. Non è ancora chiaro se Nissan sia venuta a conoscenza della fuga di notizie o se sia stata informata.
20 GB di dati esposti
Secondo Kottmann, il deposito esposto conservava i dati critici della Nissan North America. La raccolta è grande 20 GB e include il codice sorgente di una serie di servizi Nissan, tra cui NissanConnect.
Il ricercatore ha anche pubblicato un elenco dei servizi interessati dalla fuga di notizie:
Nissan NA Mobile apps
Parti del software del sistema diagnostico ASIST
Portale dei sistemi aziendali dei concessionari e dei rivenditori
Libreria mobile interna Nissan core
Servizi Nissan/Infiniti NCAR/ICAR
Strumenti per l'acquisizione e la fidelizzazione dei clienti
Strumenti e dati di ricerca di vendita/mercato
Vari strumenti di marketing
Portale di logistica dei veicoli
Servizi connessi al veicolo / Nissan collegare le cose
Vari altri backend e strumenti interni
I dati esposti comprendono le applicazioni mobili dell'azienda, alcune parti dello strumento diagnostico ASIST di Nissan, i Dealer Business Systems, la sua libreria mobile interna di base, il Dealer Portal, gli strumenti e i dati per le ricerche di mercato, i servizi Nissan/Infiniti NCAR/ICAR, gli strumenti di acquisizione e conservazione dei clienti, i servizi connessi ai veicoli/NissanConnect, il portale logistico dei veicoli e molti altri strumenti interni e back end.
Git Server Prelevato Offline
Il server Git è stato messo offline giovedì dopo che gli attori della minaccia hanno iniziato a condividerlo su Telegram e altre piattaforme di hacking. Nissan ha riconosciuto l'esposizione e un'indagine è attualmente in corso.
"Il software aziendale ha visto un massiccio aumento delle adozioni durante la pandemia. Tuttavia, il software porta con sé dei rischi intrinseci, e questi rischi si stanno moltiplicando. Uno dei motivi per cui questo tipo di violazione è probabile che si verifichi è dovuto al problema informatico di Shadow IT, questo può accadere quando nell'organizzazione esistono server Git sconosciuti al di fuori di una politica di sicurezza applicabile".
"Questo può sembrare un evento raro, ma è molto comune sia nelle grandi che nelle piccole organizzazioni. Resta ancora da vedere, e sono sicuro che presto scopriremo se Nissan ha fatto un buon lavoro nel proteggere il proprio codice da potenziali aggressori e non ha esposto alcuna informazione aggiuntiva includendo segreti, password di database, certificati e dati dei clienti nel proprio codice repo Git", consiglia Dotan.
La società ha dichiarato di essere "a conoscenza di un reclamo relativo a una segnalazione di divulgazione impropria delle informazioni riservate e del codice sorgente di Nissan". La società avrebbe avviato un'indagine. Tuttavia, Kottmann afferma che il link torrent dei dati è già stato condiviso online, quindi, indipendentemente dagli sforzi di Nissan, finirà comunque nelle mani di terzi non autorizzati.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
