欢迎光临第五届中国汽车网络信息安全峰会2020!

奔驰“智能车”源代码泄露–专家评论

发布日期:2020-05-20

GRCCIoVSecurity

2020-05-20 10:46:32

手机阅读

点击上方蓝色字体,关注我们



一位安全研究人员在戴姆勒公司(Daimler AG)的Git网站门户中发现了一个错误配置,戴姆勒公司是梅赛德斯-奔驰品牌背后的德国汽车公司。研究人员能够访问,下载和泄漏超过580个Git存储库,其中包含梅赛德斯面包车中安装的“智能汽车”组件的源代码。泄漏的项目还包括Raspberry Pi映像,服务器映像,用于管理远程OLU的内部戴姆勒组件,内部文档,代码示例以及戴姆勒系统的密码和API令牌。



专家评论



Chris DeRamus,联合创始人兼CTO

DivvyCloud | 2020年5月19日


实际上,2019年因云配置错误而暴露的记录数量增加了80%。


错误配置的安全设置是造成许多主要数据泄漏和破坏的首要原因。实际上,由于云配置错误而暴露的记录数量在2019年增加了80%。在此GitLab实例中,不良行为者可以在戴姆勒的代码托管门户上注册一个帐户,并下载超过580个包含Mercedes源代码的Git存储库并出售该信息。给公司的竞争对手。此外,黑客可以利用戴姆勒系统公开的密码和API令牌访问和窃取公司的更多敏感信息。


如果不采取主动的安全措施,公司就会向自己敞开心to承受风险。大多数组织都依赖于在运行时(在供应或创建之后)在云中检测风险和错误配置,而不是在构建过程中阻止它们,这会显着增加安全性和合规性风险。由于开发人员必须花时间解决这些问题,因此也会影响生产力。


戴姆勒(Daimler)对Git存储库的了解突显了开发人员和安全团队在部署云资源之前必须如何努力主动发现合规性和安全性问题。企业不应主要依靠运行时安全性,而应在其持续集成和持续交付(CI / CD)管道中尽早采取预防措施,以“向左转移”。这种主动的方法将使组织能够防止安全问题的发生,并使安全团队能够在泄漏发生之前发现配置错误。



相关文章

面向智能网联汽车大数据安全可信共享的云链融合模型与方法
或遭非法入侵 雷克萨斯/丰田存安全漏洞
企业网络钓鱼威胁和恶意软件交付的增加,增加了对恶意软件分析的需求。






SELECTED EVENTS




 

长按二维码识别关注




  • 电话咨询
  • 15021948198
  • 021-22306692
None