Un serveur Git utilisé par Nissan est resté exposé à cause d’une mauvaise configuration des identifiants laissant accès à différentes applications mobiles outils internes du constructeur.
En laissant le couple identifiant et mot de passe par défaut lors de la configuration du serveur Git, il était facile pour n’importe qui de se connecter au compte de Nissan North America et d’accéder aux différents fichiers de développement.
Tesla fait à nouveau évoluer sa Model 3
Les codes sources exposés
Informé par une source anonyme, Tillie Kottman, ingénieur logiciel installé en Suisse, a annoncé à ZDNet que différents codes sources ont été accessibles à cause d’une configuration non sécurisée des identifiants à l’un des serveurs Git utilisés par Nissan North America.
Ainsi, le code source des applications mobiles Nissan NA, une partie de l’outil de diagnostic Nissan Assist, les outils pour les distributeurs, les outils marketings, les services connectés aux véhicules et d’autres fichiers ont pu être consultés librement.
Le serveur incriminé a été rapidement neutralisé après que les fichiers ont commencé à circuler sur Internet via des liens torrent sur Telegram et des sites dédiés au piratage.
Nissan mène l’enquête
Après avoir pris connaissance du problème et mis hors ligne le serveur Git incriminé, Nissan a commenté la fuite auprès de ZDNet : « Nissan a mené une enquête immédiate concernant un accès inapproprié au code source propriétaire de l'entreprise. Nous prenons cette question au sérieux et sommes convaincus qu'aucune donnée personnelle des consommateurs, concessionnaires ou employés n'était accessible avec cet incident de sécurité. Le système concerné a été sécurisé et nous sommes convaincus qu'il n'y a aucune information dans le code source exposé qui mettrait les consommateurs ou leurs véhicules en danger. »
Au printemps dernier, Mercedes avait également rencontré une fuite de ses données due aussi à une mauvaise configuration d’un serveur.
Source : ZDNet
