متدفق

تسرب كود مصدر نيسان عبر الإنترنت في عام 2021: ما تحتاج إلى معرفته

مؤلف:

بريان تشوي ، كاتب تقني

تسرب كود مصدر نيسان عبر الإنترنت في عام 2021: ما تحتاج إلى معرفته

ملخص سريع

في عام 2021، تم تسريب كود مصدر نيسان لتطبيقات الهاتف المحمول وأدوات التشخيص والبرامج الداخلية الأخرى عبر الإنترنت بسبب خادم Git الذي تمت تهيئته بشكل خاطئ ويُترك يمكن الوصول إليه باستخدام بيانات الاعتماد الافتراضية.

ظهرت نيسان، إحدى أكبر شركات صناعة السيارات في العالم، في الأخبار في عام 2021 عندما تم تسريب الكود المصدري للشركة عبر الإنترنت بعد تكوين خاطئ واضح لخادم Bitbucket Git.

أثار الحادث مخاوف بشأن أمان أنظمة الشركة المصنعة والتأثير المحتمل على عملائها.

تم اكتشاف التسريب من قبل مهندس البرمجيات المقيم في سويسرا، تيلي كوتمان، الذي تلقى معلومات حول خادم Git الخاص بشركة نيسان.

قام كوتمان بتحليل البيانات ووجد أن المستودع يحتوي على الكود المصدري للعديد من تطبيقات نيسان للهواتف المحمولة، وأجزاء من أداة التشخيص Nissan ASIST، وأنظمة أعمال الوكلاء/بوابة الوكلاء، ومكتبة نيسان الداخلية الأساسية للهاتف المحمول، وخدمات Nissan/Infiniti NCAR/ICAR، و أدوات اكتساب العملاء والاحتفاظ بهم.

الوجبات السريعة الرئيسية

  • تم تسريب كود مصدر نيسان للعديد من تطبيقات الهاتف المحمول والأدوات الداخلية عبر الإنترنت بسبب التكوين الخاطئ لخادم Bitbucket Git.
  • مخاوف بشأن أمان أنظمة نيسان وتأثيرها المحتمل على العملاء.
  • وسلط الحادث الضوء على ضرورة اتخاذ تدابير وقائية في صناعة السيارات لتجنب وقوع حوادث مماثلة في المستقبل.
جينيل فولتون براون

يأخذ الخبراء:

جينيل فولتون براون ، خبيرة في الأمن السيبراني

"يؤكد تسرب كود مصدر نيسان لعام 2021 على الأهمية الحاسمة للتدابير الأمنية القوية في العصر الرقمي اليوم. يعد هذا الاختراق بمثابة تذكير صارخ بأنه لا توجد منظمة محصنة ضد التهديدات السيبرانية، وحتى نقطة ضعف واحدة يمكن أن تؤدي إلى عواقب وخيمة.

ومن الضروري أن تتبنى الشركات نهجًا استباقيًا وشاملاً للأمن السيبراني، مع التركيز ليس فقط على الوقاية ولكن أيضًا على الكشف السريع والاستجابة للتخفيف من الأضرار المحتملة.

تسرب بيانات نيسان: ماذا حدث؟

في يناير 2021، تم الإبلاغ عن أن العديد من مستودعات التعليمات البرمجية من نيسان أمريكا الشمالية أصبحت عامة بعد أن تركت الشركة خادم Git المكشوف محميًا ببيانات اعتماد الوصول الافتراضية.

تم اكتشاف التسريب من قبل مهندس البرمجيات السويسري تيلي كوتمان، الذي تلقى نصيحة حول خادم Git من نيسان بعد العثور على خادم GitLab الذي تم تكوينه بشكل خاطئ في مايو 2020 والذي سرب الكود المصدري لتطبيقات مرسيدس بنز المختلفة.

شمل تسرب بيانات نيسان الكود المصدري للعديد من تطبيقات الهاتف المحمول Nissan NA، وبعض أجزاء أداة التشخيص Nissan ASIST، وأنظمة أعمال الوكلاء/بوابة الوكلاء، ومكتبة الهاتف المحمول الأساسية الداخلية لنيسان، وخدمات Nissan/Infiniti NCAR/ICAR، والعميل والسوق. ادوات البحث.

قام Kottmann بتحليل البيانات ومشاركتها على حساب GitLab الخاص به، مما جعلها في متناول أي شخص على الإنترنت.

حدث التسريب لأن شركة نيسان استخدمت كلمة "admin" كاسم مستخدم وكلمة مرور لخادم Git الخاص بها، وهو خطأ شائع يمكن استغلاله بسهولة من قبل المتسللين.

وكشف التسريب عن معلومات حساسة حول الأنظمة الداخلية لشركة نيسان، والتي يمكن استخدامها، إذا وقعت في الأيدي الخطأ، لشن هجمات ضد الشركة أو عملائها.

وبحسب ما ورد أجرت نيسان تحقيقًا فوريًا فيما يتعلق بالوصول غير السليم إلى كود المصدر الخاص بالشركة.

تأثير تسرب البيانات على شركة نيسان

يعد كود المصدر المسرب لتطبيقات الهاتف المحمول والأدوات الداخلية لشركة Nissan North America بمثابة خرق أمني كبير يمكن أن يكون له عواقب وخيمة على الشركة. حدث التسرب بسبب خطأ في تكوين خادم Git وتركه مكشوفًا على الإنترنت مع مجموعة اسم المستخدم وكلمة المرور الافتراضية الخاصة بـ admin/admin. تم اكتشاف الخادم من قبل مهندس البرمجيات المقيم في سويسرا، تيلي كوتمان، الذي اكتشف أيضًا خادم GitLab الذي تم تكوينه بشكل خاطئ والذي سرب الكود المصدري للعديد من تطبيقات وأدوات مرسيدس بنز.

وبالإضافة إلى التحقيق الداخلي الذي أجرته نيسان، تسبب التسرب في إلحاق ضرر كبير بسمعة الشركة.

كود مصدر نيسان: ما تم تسريبه

وفقًا لكوتمان، احتوى مستودع Git المسرب على كود المصدر التالي:

  • تطبيقات نيسان NA موبايل
  • بعض أجزاء أداة التشخيص Nissan ASIST
  • أنظمة أعمال الموزع / بوابة الموزع
  • مكتبة نيسان الداخلية الأساسية المتنقلة
  • خدمات نيسان/إنفينيتي NCAR/ICAR
  • أدوات اكتساب العملاء والاحتفاظ بهم
  • أدوات أبحاث السوق
  • أصول البيانات


لتلخيص ما ورد أعلاه، يتضمن كود المصدر المسرب معلومات حساسة مثل مفاتيح API وبيانات الاعتماد وبيانات الملكية الأخرى.

فنان يتخيل تسرب بيانات نيسان 2021

من المسؤول عن تسرب بيانات نيسان؟

تقع مسؤولية كود مصدر نيسان المسرب على عاتق الشركة نفسها. ليس هناك ما يخفي ذلك.

كان التكوين الخاطئ لخادم Git بسبب ترك مجموعة اسم المستخدم وكلمة المرور الافتراضية للمسؤول/المشرف في مكانها.

وهذا خطأ شائع يمكن تجنبه بسهولة عن طريق تغيير بيانات اعتماد تسجيل الدخول الافتراضية.

ليس من الواضح ما إذا كانت أي جهات ضارة قد تمكنت من الوصول إلى كود المصدر المسرب، ولكن احتمال الضرر كبير.

وبينما توحدت الشركة بعد التسرب، فإن وجهة نظر الخبراء هي أن نيسان من المحتمل أن تتخذ خطوات للتخفيف من الضرر المحتمل الناجم عن التسرب. وسيتضمن ذلك عادةً تحديد أي نقاط ضعف في أنظمتها وتنفيذ التدابير لمنع التسريبات المستقبلية.

شعار NordVPN
5/5
المطالبة بخصم 68٪!
Surfshark
4.5/5
المطالبة بخصم 81٪!
شعار ExpressVPN
4.5/5
المطالبة بخصم 35٪!

مقالات ذات صلة

منشورات ومقالات أخرى قد تكون مهتمًا بها.