Mercedes-Benz verliert Quellcode von Smart-Car-Komponenten

Ein GitLab-Server der Mutter Daimler erlaubt jedem, ein Konto anzulegen. Ein Schweizer Sicherheitsforscher zieht Daten aus Hunderten Repositories ab und veröffentlicht sie im Internet. Die Daten enthalten nicht nur Quellcode, sondern auch Passwörter und API-Tokens.

Der Autobauer Mercedes-Benz hat offenbar einen Server mit Quellcode für Smart-Car-Komponenten für Lastwagen nicht ausreichend abgesichert. Der Schweizer Softwareingenieur Till Kottmann war nach eigenen Angaben in der Lage, ein eigenes Konto für ein Git-Web-Portal der Mercedes-Benz-Mutter Daimler anzulegen und auf dort hinterlegten Code zuzugreifen.

Smart Car (Bild: Mercedes-Benz)Insgesamt lud Kottmann Code aus mehr als 580 Git-Repositories herunter. Darunter war auch Quellcode für Onboard Logic Units (OLU) des Unternehmens. Dabei handelt es sich um Komponenten, die zwischen der Hardware und der Software eines Fahrzeugs sitzen und es mit der Cloud verbinden. OLUs „vereinfachen den technischen Zugriff auf und die Verwaltung von Fahrzeug-Live-Daten“, heißt es auf der Daimler-Website. Unter anderem werden darüber Anwendungen zum Tracking von Fahrzeugen oder das Abschalten im Fall eines Fahrzeugdiebstahls umgesetzt.

Den offenen GitLab-Server fand Kottman mithilfe einer Google-Dorks-Suche. „Ich suche oft nach interessanten GitLab-Instanzen, meist mit Google Dorks, wenn mir langweilig ist, und ich bin immer wieder überrascht, wie einfach es ist, in die Sicherheitseinstellungen zu gelangen“, sagte der Forscher im Gespräch mit ZDNet.com. „Das war ehrlich ein sehr glücklicher Fund, während ich einfach ein paar Markennamen durchgegangen bin, in der Hoffnung vielleicht einen kleinen Lieferanten oder sowas zu finden.“

Daimler habe es versäumt, eine Whitelist für die Registrierung neuer Konten anzulegen. Das habe es ihm erlaubt, auch ohne eine Firmen-E-Mail-Adresse ein Konto beim offiziellen GitLab-Server von Daimler anzulegen. Die Daten aus den mehr als 580 Repositories veröffentlichte Kottmann unter anderem auf Mega und im Internet Archive. Darunter waren neben Quellcode für OLU-Komponenten auch Images für Raspberry Pi, Server Images, interne Dokumente für die Verwaltung von OLUs aus der Ferne, Beispielcode und interne Dokumentationen.

Darüber hinaus fand der Sicherheitsanbieter Under The Breach bei einer Analyse der Daten Passwörter und API-Tokens für interne Systeme von Daimler. Beides könnte in den falschen Händen die Planung von Angriffen auf das interne Netzwerk von Daimler begünstigen.

Daimler wurde zudem von ZDNet.com und Under The Breach über das Datenleck informiert. Inzwischen wurde der GitLab-Server abgeschaltet. Kottmann kündigte indes an, die von ihm veröffentlichten Kopien erst zu löschen, nachdem er von Daimler zu aufgefordert wurde. Auch stellt sich die Frage, ob Kottmann mit seiner Aktion gegen Gesetze verstößt, da er offenbar nicht versucht hat, Daimler zu kontaktieren, bevor er die Daten veröffentlichte. Allerdings war der GitLab-Server zumindest laut Kottmann so konfiguriert, dass wirklich jeder ein Konto anlegen konnte – als sei es ein offenes System. Laut einer Untersuchung von ZDNet.com fanden sich in dem Code auch keine Warnungen, dass es sich um geistiges Eigentum von Daimler oder Mercedes-Benz handelt.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Daimler, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

10 Kommentare zu Mercedes-Benz verliert Quellcode von Smart-Car-Komponenten

Kommentar hinzufügen
  • Am 25. Mai 2020 um 14:08 von Jörg

    Der Mann ist kein Sicherheitsforscher, sondern ein etwas naiver Informatiker. Seine „Forschung“ muss nach Recht und Gesetz erfolgen. Mit seiner Forschung hat er gleich gegen mehrere Paragrafen des deutschen Telekommunikationsgesetzes und gegen die DSGVO verstoßen. Teilweise sogar Straftaten. Mal sehen wie Daimler damit umgeht.

  • Am 20. Mai 2020 um 11:50 von Gast

    Was ist das für ein unmöglicher und unverantwortlicher Typ…Sicherheitsforscher…und sorgt für Unsicherheit bei einem ganzen Unternehmen, statt denen das im Vertrauen zu sagen und zu helfen…wer will mit so jemandem jemals etwas vertrauensvoll zu tun haben…

    • Am 25. Mai 2020 um 10:58 von Gast

      Den viel zitierten Sicherheitsforschern geht es leider oft nicht darum die Sicherheit zu erhöhen oder wiederherzustellen, sondern lediglich darum ihre Bekanntheit zu erhöhen. Das merkt man schon daran, dass Sicherheitslücken nicht einfach nur gefunden und behoben werden, sondern für selbige immer öfter hochtrabende medienwirksame Namen mitsamt Logo erfunden werden. Siehe Spectre, Ghost etc. Alles Wichtigtuerei und Profilneurosen. Oder wie es Linus Torvalds einst sagte „Sicherheitslücken sind auch nur Bugs„.

  • Am 20. Mai 2020 um 9:30 von apunktlpunkt

    Der Typ ist kein Sicherheitsforscher und scheint nicht daran interessiert zu sein, einen nützlichen Beitrag für die Sicherheit von Daten zu leisten sondern will größeren Unternehmen offensichtlich schaden.

    https://jusoplus.ch/stadt-luzern/
    Zitat: “KMU’s entlasten” – Grosskonzerne zerschlagen!

    • Am 20. Mai 2020 um 13:20 von AutonomerAnonymer

      Solange sie es nichtmal schaffen die Repositories mit Eigentumsvermerken und Copyrights zu versehen, ist aus meiner Sicht legitim, diese auch zu veröffentlichen.
      Das Urheberrecht bleibt trotzdem erhalten, es beleibt geistiges Eigentum von Daimler und darf nicht anderweitig verwendet werden. Was diese Aussage nach der Veröffentlichung noch wert ist, steht auf einem anderen Blatt.

      Der Schaden wird nicht durch den Herrn Kottmann verursacht, sondern durch Daimler, indem sie zu sorglos mit ihrem geistigen Eigentum umgehen.
      Es bestätigt wieder einmal meine Meinung dass es sich bei den Automobilherstellern(gilt für fast alle) um Blechbieger handelt.

      gez. xxx (Software-Entwickler in der Automobilindustrie)

      • Am 22. Mai 2020 um 2:41 von tsoj

        Wenn da keine Copyright-Lizenz steht, ist es illegal das Zeug in irgendeiner Form ohne Zustimmung zu verbreiten: https://choosealicense.com/no-permission/

        • Am 24. Mai 2020 um 12:02 von Foo Bar

          Genau deswegen denke ich, dass der
          xxx (Software-Entwickler in der Automobilindustrie)
          kein solcher ist, oder bestenfalls ein schlechter Praktikant oder Werkstudent. Sonst hätte er gewusst, dass man üblicherweise nicht überall seine Lizenz hinplanzt, weil per-default sämtlicher Quellcode nicht zur Veröffentlichung gedacht ist.

      • Am 22. Mai 2020 um 18:06 von Schuldsindimmer Dieanderen

        Das ist ja ein eigenartiges Verständnis von Recht und Verhältnismäßigkeit. Es ist demnach auch völlig in Ordnung, wenn mir mein Nachbar die Wohnung ausräumt wenn ich mal vergesse, die Tür abzusperren.
        Zu Herrn Kottmann: Ich frage mich, womit der gute Mann als Informatiker sein Geld verdienen möchte, nachdem er die Großkonzerne zerschlagen hat, welche die Chips für seine Computer herstellen. Typen gibt’s…

  • Am 19. Mai 2020 um 15:31 von Pilotfish

    Ja, das war dämlich von Mercedes.

    Den Kram allerdings weiterzuverteilen ist unverschämt.

  • Am 19. Mai 2020 um 10:34 von bd

    Wenn ich etwas verliere … habe ich es nicht mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *