Auteur :
Fuite du code source de Nissan en ligne en 2021 : ce que vous devez savoir
RÉSUMÉ RAPIDE
En 2021, le code source de Nissan pour les applications mobiles, les outils de diagnostic et d'autres logiciels internes a été divulgué en ligne en raison d'un serveur Git mal configuré, laissé accessible avec les informations d'identification par défaut.
Nissan, l'un des plus grands constructeurs automobiles au monde, a fait la une des journaux en 2021 lorsque le code source de l'entreprise a été divulgué en ligne après une apparente mauvaise configuration d'un serveur Bitbucket Git.
L'incident a soulevé des inquiétudes quant à la sécurité des systèmes du fabricant et à l'impact potentiel sur ses clients.
La fuite a été découverte par l'ingénieur logiciel basé en Suisse, Tillie Kottmann, qui a reçu une information concernant le serveur Git de Nissan.
Kottmann a analysé les données et a découvert que le référentiel contenait le code source de diverses applications mobiles Nissan, des parties de l'outil de diagnostic Nissan ASIST, les systèmes commerciaux/portail des concessionnaires, la bibliothèque mobile interne de Nissan, les services Nissan/Infiniti NCAR/ICAR et outils d’acquisition et de fidélisation des clients.
Faits marquants
- Le code source de Nissan pour diverses applications mobiles et outils internes a été divulgué en ligne en raison d'une mauvaise configuration d'un serveur Bitbucket Git.
- Préoccupations concernant la sécurité des systèmes de Nissan et l'impact potentiel sur les clients.
- L'incident a mis en évidence la nécessité de prendre des mesures préventives dans l'industrie automobile pour éviter des incidents similaires à l'avenir.
Avis d'expert :
« La fuite du code source Nissan de 2021 souligne l'importance cruciale de mesures de sécurité robustes à l'ère numérique d'aujourd'hui. Cette violation nous rappelle brutalement qu’aucune organisation n’est à l’abri des cybermenaces et qu’une seule vulnérabilité peut avoir des conséquences importantes.
Il est impératif que les entreprises adoptent une approche proactive et holistique de la cybersécurité, en se concentrant non seulement sur la prévention, mais également sur la détection et la réponse rapides pour atténuer les dommages potentiels.
La fuite de données Nissan : que s’est-il passé ?
En janvier 2021, il a été signalé que plusieurs référentiels de codes de Nissan North America étaient devenus publics après que l'entreprise ait laissé un serveur Git exposé protégé par des informations d'identification par défaut.
La fuite a été découverte par l'ingénieur logiciel suisse Tillie Kottmann, qui a reçu une information sur le serveur Git de Nissan après avoir trouvé un serveur GitLab également mal configuré en mai 2020 qui a divulgué le code source de diverses applications Mercedes Benz.
La fuite de données Nissan comprenait le code source de diverses applications mobiles Nissan NA, certaines parties de l'outil de diagnostic Nissan ASIST, les systèmes commerciaux/portail des concessionnaires, la bibliothèque mobile interne de Nissan, les services Nissan/Infiniti NCAR/ICAR, ainsi que les clients et le marché. outils de recherche.
Kottmann a analysé les données et les a partagées sur son compte GitLab, les rendant accessibles à tous sur Internet.
La fuite s'est produite parce que Nissan aurait utilisé « admin » à la fois comme nom d'utilisateur et mot de passe pour son serveur Git, ce qui est une erreur courante qui peut facilement être exploitée par des pirates.
La fuite a révélé des informations sensibles sur les systèmes internes de Nissan qui, entre de mauvaises mains, pourraient être utilisées pour lancer des attaques contre l'entreprise ou ses clients.
Nissan aurait mené une enquête immédiate concernant un accès abusif au code source exclusif de l'entreprise.
L'impact de la fuite de données sur Nissan
La fuite du code source des applications mobiles et des outils internes de Nissan North America constitue une faille de sécurité majeure qui peut avoir de graves conséquences pour l'entreprise. La fuite a été causée par un serveur Git mal configuré qui a été laissé exposé sur Internet avec sa combinaison de nom d'utilisateur et de mot de passe par défaut admin/admin. Le serveur a été découvert par l'ingénieur logiciel basé en Suisse Tillie Kottmann, qui a également trouvé un serveur GitLab mal configuré de la même manière qui a divulgué le code source de diverses applications et outils Mercedes Benz.
Outre l'enquête interne menée par Nissan, la fuite a considérablement nui à la réputation de l'entreprise.
Code source de Nissan : ce qui a été divulgué
Selon Kottmann, le référentiel Git divulgué contenait le code source suivant :
- Applications mobiles Nissan NA
- Certaines parties de l'outil de diagnostic Nissan ASIST
- Les systèmes commerciaux des concessionnaires / Portail des concessionnaires
- Bibliothèque mobile principale interne de Nissan
- Services Nissan/Infiniti NCAR/ICAR
- Outils d'acquisition et de fidélisation des clients
- Outils d'étude de marché
- Ressources de données
Pour résumer ce qui précède, le code source divulgué comprend des informations sensibles telles que des clés API, des informations d'identification et d'autres données propriétaires.
Qui est responsable de la fuite de données Nissan ?
La responsabilité de la fuite du code source de Nissan incombe à l'entreprise elle-même. Il n’y a pas moyen de le cacher.
La mauvaise configuration du serveur Git était due au fait que la combinaison nom d'utilisateur et mot de passe administrateur/administrateur par défaut était laissée en place.
Il s'agit d'une erreur courante qui peut être facilement évitée en modifiant les informations de connexion par défaut.
Il n’est pas clair si des acteurs malveillants ont accédé au code source divulgué, mais le potentiel de préjudice est important.
Même si l'entreprise a resserré les rangs après la fuite, l'opinion des experts est que Nissan a probablement pris des mesures pour atténuer les dommages potentiels causés par la fuite. Cela impliquera généralement d'identifier toute vulnérabilité dans ses systèmes et de mettre en œuvre des mesures pour prévenir de futures fuites.
Articles Relatifs
Autres publications et articles qui pourraient vous intéresser.