Un serveur de développement était accessible par les identifiants « admin/admin » et donnait accès, entre autres, à des applications mobiles, des librairies et des outils de diagnostic.
Nissan North America a laissé quasiment en accès libre l’un de ses serveurs de développement Git. On pouvait s’y connecter avec les identifiants par défaut « admin/admin » et, ainsi, accéder à tout un tas de codes sources et de données sensibles : applications mobiles, librairies logicielles, logiciels de diagnostic, outils commerciaux et marketing, etc.
RELEASE: Nissan North America Source Code Dump
A COMPLETE dump of all git repositories from Nissan NA, most notably including sources for:
– the Nissan NA Mobile apps
– some parts of the ASIST diagnostics tool
– the Dealer Business Systems / Dealer Portal
(1/n) pic.twitter.com/ltDvg9blTB— tillie, doer of crime 💛🤍💜🖤 (@antiproprietary) January 4, 2021
Cette faille a été découverte lundi dernier par un informaticien suisse, Till Kottmann, qui a ensuite livré les liens de téléchargement de l’ensemble de ces données par le biais d’un canal Telegram. Le serveur a depuis été déconnecté.
Ce n’est pas la première fois que l’on assiste à ce genre de bévue. En mai dernier, Till Kottmann avait déjà découvert des serveurs Git en accès libre chez Daimler Mercedes, ce qui lui a permis de télécharger plus de 580 dépôts de logiciels et de les diffuser à son tour, avant d’alerter le constructeur. Apparemment, le groupe Daimler ne lui en a pas tenu rigueur. Il a déconnecté son serveur Git et demandé à l’informaticien de retirer les données, ce qu’il a fait.
Pour trouver ces différents serveurs ouverts aux quatre vents, Till Kottmann utilise simplement des requêtes Google spécialisées.