日产北美使用BitbucketGit服务器。您可以使用标准登录信息(用户名:admin,密码:admin)登录,并丢失移动应用程序的源代码,内部移动核心库以及用于销售和销售的工具和数据。市场调查。客户服务,经销商门户以及连网车辆服务的什至工具。
源代码是由软件开发人员Tillie Kottmann发现的,他在Twitter上揭示了这种令人尴尬的安全配置。该数据包来自日产的Git服务器,包含近20 GB的数据。
日产迅速处理了这一事件,该公司发表声明说,泄漏中没有泄露来自员工或消费者的敏感信息。
“日产汽车立即调查了对其专有源代码的非法访问。我们认真对待此事,并确定在此安全事件期间没有从消费者,经销商或员工那里获取任何个人数据。受影响的系统已受到保护,我们相信公开的源代码中的任何信息都不会危害消费者或其车辆。”
但是,这些数据仍然可以在torrent网站和一些黑客论坛上获得。
使用“ admin”作为承载此类重要信息的Git服务器的用户名和密码无疑是Nissan的一个严重错误。安全专业人员重申了多层安全保护重要代码的重要性。
“日产汽车的违规行为不仅显示了意外丢失源代码的容易程度,而且还显示了多层设计安全性的重要性-例如,当日产汽车实施强大的身份验证策略(例如多因素身份验证,联合身份验证)时通过SAML进行SSO或限制对某些IP地址的访问,标准管理员凭据将无法自行运行,并且很可能会避免此事件。Cycode的共同创始人和共同创始人CTORonenSlavin表示,这是一家用于源代码控制,检测和响应解决方案的IsraelStartup。