本週早些時候,軟體工程師蒂莉·科特曼(TillieKottmann)在Twitter上發文稱尼桑北美公司發生嚴重的資料洩露。
洩露時間的起因源自尼桑北美公司一臺配置錯誤的 Bitbucket Git 伺服器。其使用者名稱和密碼均為admin。
從週一開始資料通過 torrent 種子檔案的形式在Telegram和黑客論壇上傳播,週三時伺服器已被下線,處於離線狀態。
據Kottmann 透露,他從匿名來源獲悉此次資料洩露事件,並於週一分析了資料,發現洩露的 Git 儲存庫包含以下原始碼:
尼桑NA移動應用程式
尼桑ASIST診斷工具的部分內容。
經銷商業務系統/經銷商入口網站
尼桑內部核心移動庫
尼桑/英菲尼迪NCAR/ICAR服務
客戶獲取和保留工具
銷售/市場調查工具+資料
各種營銷手段
車輛物流門戶
車聯網服務/尼桑connect things
和其他各種後臺和內部工具
尼桑隨後證實了這一事件,並表示將認真對待這類事情,並正在進行調查。
這並不是尼桑第一次發生資訊洩露事件,早在2017年,尼桑加拿大金融業務就曾發生一起資料洩露事件,共約113萬使用者受到影響。
因Git配置錯誤,導致受到資料洩露影響的也並非尼桑一家。在2020年5月,瑞士研究人員發現了一個類似配置錯誤的GitLab伺服器,洩露了賓士各種應用和工具的原始碼,其中包含梅賽德斯貨車中的板載邏輯單元 (OLU) 的原始碼。賓士最終承認了這一洩露事件。
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com