Der Autobauer Mercedes-Benz hat offenbar einen Server mit Quellcode für Smart-Car-Komponenten für Lastwagen nicht ausreichend abgesichert. Der Schweizer Softwareingenieur Till Kottmann war nach eigenen Angaben in der Lage, ein eigenes Konto für ein Git-Web-Portal der Mercedes-Benz-Mutter Daimler anzulegen und auf dort hinterlegten Code zuzugreifen.
Insgesamt lud Kottmann Code aus mehr als 580 Git-Repositories herunter. Darunter war auch Quellcode für Onboard Logic Units (OLU) des Unternehmens. Dabei handelt es sich um Komponenten, die zwischen der Hardware und der Software eines Fahrzeugs sitzen und es mit der Cloud verbinden. OLUs „vereinfachen den technischen Zugriff auf und die Verwaltung von Fahrzeug-Live-Daten“, heißt es auf der Daimler-Website. Unter anderem werden darüber Anwendungen zum Tracking von Fahrzeugen oder das Abschalten im Fall eines Fahrzeugdiebstahls umgesetzt.
Den offenen GitLab-Server fand Kottman mithilfe einer Google-Dorks-Suche. „Ich suche oft nach interessanten GitLab-Instanzen, meist mit Google Dorks, wenn mir langweilig ist, und ich bin immer wieder überrascht, wie einfach es ist, in die Sicherheitseinstellungen zu gelangen“, sagte der Forscher im Gespräch mit ZDNet.com. „Das war ehrlich ein sehr glücklicher Fund, während ich einfach ein paar Markennamen durchgegangen bin, in der Hoffnung vielleicht einen kleinen Lieferanten oder sowas zu finden.“
Daimler habe es versäumt, eine Whitelist für die Registrierung neuer Konten anzulegen. Das habe es ihm erlaubt, auch ohne eine Firmen-E-Mail-Adresse ein Konto beim offiziellen GitLab-Server von Daimler anzulegen. Die Daten aus den mehr als 580 Repositories veröffentlichte Kottmann unter anderem auf Mega und im Internet Archive. Darunter waren neben Quellcode für OLU-Komponenten auch Images für Raspberry Pi, Server Images, interne Dokumente für die Verwaltung von OLUs aus der Ferne, Beispielcode und interne Dokumentationen.
Darüber hinaus fand der Sicherheitsanbieter Under The Breach bei einer Analyse der Daten Passwörter und API-Tokens für interne Systeme von Daimler. Beides könnte in den falschen Händen die Planung von Angriffen auf das interne Netzwerk von Daimler begünstigen.
Daimler wurde zudem von ZDNet.com und Under The Breach über das Datenleck informiert. Inzwischen wurde der GitLab-Server abgeschaltet. Kottmann kündigte indes an, die von ihm veröffentlichten Kopien erst zu löschen, nachdem er von Daimler zu aufgefordert wurde. Auch stellt sich die Frage, ob Kottmann mit seiner Aktion gegen Gesetze verstößt, da er offenbar nicht versucht hat, Daimler zu kontaktieren, bevor er die Daten veröffentlichte. Allerdings war der GitLab-Server zumindest laut Kottmann so konfiguriert, dass wirklich jeder ein Konto anlegen konnte – als sei es ein offenes System. Laut einer Untersuchung von ZDNet.com fanden sich in dem Code auch keine Warnungen, dass es sich um geistiges Eigentum von Daimler oder Mercedes-Benz handelt.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
10 Kommentare zu Mercedes-Benz verliert Quellcode von Smart-Car-Komponenten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wenn ich etwas verliere … habe ich es nicht mehr.
Ja, das war dämlich von Mercedes.
Den Kram allerdings weiterzuverteilen ist unverschämt.
Der Typ ist kein Sicherheitsforscher und scheint nicht daran interessiert zu sein, einen nützlichen Beitrag für die Sicherheit von Daten zu leisten sondern will größeren Unternehmen offensichtlich schaden.
https://jusoplus.ch/stadt-luzern/
Zitat: “KMU’s entlasten” – Grosskonzerne zerschlagen!
Solange sie es nichtmal schaffen die Repositories mit Eigentumsvermerken und Copyrights zu versehen, ist aus meiner Sicht legitim, diese auch zu veröffentlichen.
Das Urheberrecht bleibt trotzdem erhalten, es beleibt geistiges Eigentum von Daimler und darf nicht anderweitig verwendet werden. Was diese Aussage nach der Veröffentlichung noch wert ist, steht auf einem anderen Blatt.
Der Schaden wird nicht durch den Herrn Kottmann verursacht, sondern durch Daimler, indem sie zu sorglos mit ihrem geistigen Eigentum umgehen.
Es bestätigt wieder einmal meine Meinung dass es sich bei den Automobilherstellern(gilt für fast alle) um Blechbieger handelt.
gez. xxx (Software-Entwickler in der Automobilindustrie)
Wenn da keine Copyright-Lizenz steht, ist es illegal das Zeug in irgendeiner Form ohne Zustimmung zu verbreiten: https://choosealicense.com/no-permission/
Genau deswegen denke ich, dass der
xxx (Software-Entwickler in der Automobilindustrie)
kein solcher ist, oder bestenfalls ein schlechter Praktikant oder Werkstudent. Sonst hätte er gewusst, dass man üblicherweise nicht überall seine Lizenz hinplanzt, weil per-default sämtlicher Quellcode nicht zur Veröffentlichung gedacht ist.
Das ist ja ein eigenartiges Verständnis von Recht und Verhältnismäßigkeit. Es ist demnach auch völlig in Ordnung, wenn mir mein Nachbar die Wohnung ausräumt wenn ich mal vergesse, die Tür abzusperren.
Zu Herrn Kottmann: Ich frage mich, womit der gute Mann als Informatiker sein Geld verdienen möchte, nachdem er die Großkonzerne zerschlagen hat, welche die Chips für seine Computer herstellen. Typen gibt’s…
Was ist das für ein unmöglicher und unverantwortlicher Typ…Sicherheitsforscher…und sorgt für Unsicherheit bei einem ganzen Unternehmen, statt denen das im Vertrauen zu sagen und zu helfen…wer will mit so jemandem jemals etwas vertrauensvoll zu tun haben…
Den viel zitierten Sicherheitsforschern geht es leider oft nicht darum die Sicherheit zu erhöhen oder wiederherzustellen, sondern lediglich darum ihre Bekanntheit zu erhöhen. Das merkt man schon daran, dass Sicherheitslücken nicht einfach nur gefunden und behoben werden, sondern für selbige immer öfter hochtrabende medienwirksame Namen mitsamt Logo erfunden werden. Siehe Spectre, Ghost etc. Alles Wichtigtuerei und Profilneurosen. Oder wie es Linus Torvalds einst sagte „Sicherheitslücken sind auch nur Bugs„.
Der Mann ist kein Sicherheitsforscher, sondern ein etwas naiver Informatiker. Seine „Forschung“ muss nach Recht und Gesetz erfolgen. Mit seiner Forschung hat er gleich gegen mehrere Paragrafen des deutschen Telekommunikationsgesetzes und gegen die DSGVO verstoßen. Teilweise sogar Straftaten. Mal sehen wie Daimler damit umgeht.