Mercedes logo

Secondo indiscrezioni il codice sorgente dei componenti “smart car” installati nei furgoni Mercedez-Benz è stato divulgato online nel fine settimana. La perdita si è verificata dopo che Till Kottmann, un ingegnere del software con sede in Svizzera, ha scoperto un portale web Git appartenente alla Daimler AG, la società automobilistica tedesca dietro il marchio automobilistico Mercedes-Benz. Kottmann ha dichiarato di essere in grado di registrare un account sul portale di hosting del codice di Daimler, quindi di scaricare oltre 580 repository Git contenenti il ​​codice sorgente delle unità logiche onboard (OLU) installate nei furgoni Mercedez.

Secondo il sito web Daimler, l’OLU è un componente che si trova tra l’hardware e il software dell’auto e “collega i veicoli al cloud”. Daimler afferma che l’OLU “semplifica l’accesso tecnico e la gestione dei dati dei veicoli in tempo reale” e consente agli sviluppatori di terze parti di creare app che recuperano i dati dai furgoni Mercedes. Queste app vengono generalmente utilizzate per funzioni come il monitoraggio dei furgoni mentre si è in viaggio, il monitoraggio dello stato interno di un furgone o per il congelamento dei furgoni in caso di furto.

Kottmann ha dichiarato in un’intervista oggi di aver trovato il server GitLab di Daimler usando qualcosa di semplice come Google Dorks (query di ricerca specializzate di Google). GitLab è un pacchetto software basato sul Web che le aziende utilizzano per centralizzare il lavoro sui repository Git. Git è un software specializzato per tenere traccia delle modifiche al codice sorgente e consente ai team di progettazione multi-persona di scrivere il codice e quindi di sincronizzarlo con un server centrale, in questo caso il portale Web basato su GitLab di Daimler.

“Spesso sono solo a caccia di istanze interessanti di GitLab, soprattutto con semplici Google Dorks, quando sono annoiato, e rimango stupito da quanto poco pensiero sembra andare nelle impostazioni di sicurezza”, ha detto Kottmann.  Kottmann afferma che Daimler non è riuscito a implementare un processo di conferma dell’account, che gli ha consentito di registrare un account sul server GitLab ufficiale della società utilizzando un’e-mail aziendale Daimler. Il ricercatore afferma di aver scaricato più di 580 repository Git dal server dell’azienda, che ha reso pubblicamente disponibile nel fine settimana, caricando i file in diverse posizioni come il servizio di hosting di file MEGA, Internet Archive e sul proprio server GitLab.

Ti potrebbe interessare: Mercedes-Benz renderà la tecnologia di intelligenza artificiale MBUX ancora più proattiva