2 lutego 2024

Czy Twój mercedes jest bezpieczny? Wyciekło oprogramowanie!

Wyciekł token dostępowy do oprogramowania samochodów firmy Mercedes-Benz! Według badaczy token daje nieograniczony dostęp do mnóstwa wewnętrznych zasobów firmy, w tym do narzędzi diagnostycznych, systemu zarządzania bateriami w samochodach marki Mercedes, a nawet… kodu źródłowego oprogramowania samochodów! Czy posiadacze mercedesów mogą czuć się zagrożeni?

Sylwia Błach

0 komentarzy

Pisarka, dziennikarka, felietonistka, blogerka, ambasadorka DigitalEU z ramienia Komisji Europejskiej. Zawodowo programistka. W wolnym czasie nałogowa czytelniczka książek i graczka

Jak podają badacze z redhuntlabs.com, do incydentu bezpieczeństwa doszło we wrześniu 2023 r., ale dopiero 11 stycznia 2024 r. sprawę wykryto, a 24 stycznia firma Mercedes oficjalnie przyznała się do wycieku oraz załatała lukę bezpieczeństwa poprzez unieważnienie tokenu.

To oznacza, że przez cztery miesiące przestępcy prawdopodobnie mieli nieograniczony dostęp do oprogramowania samochodów Mercedes i zasobów firmy Mercedes-Benz. Według oficjalnego oświadczenia cytowanego przez portal Sekurak przestępcy mieli dostęp do „zaledwie” części dokumentów firmy, a dane klientów nie wyciekły.

Czym właściwie jest ten token dostępowy?

To swego rodzaju klucz, który daje dostęp do zasobów – możesz wyobrazić go sobie jako klucz do domu albo hasło do poczty e-mail. Trzymany w nieprawidłowy miejscu – w tym przypadku w publicznie dostępnym repozytorium – daje dostęp do zabezpieczonych tokenem zasobów.

Wyobraź to sobie jako trzymanie klucza pod wycieraczką albo karteczki z hasłami przyklejonej do ekranu komputera. To praktyka niebezpieczna, do której absolutnie nie powinno dochodzić, ale ponieważ kod piszą ludzie, to błędy się zdarzają. I do takiego błędu właśnie tutaj doszło, ponieważ żaden programista nie powinien zostawiać tokenów w ogólnodostępnej przestrzeni.

Co to właściwie znaczy dla użytkowników mercedesów? Niestety na tę chwilę nie wiadomo. Skala incydentu została określona przez badaczy z RedHunt Labs jako potencjalnie katastrofalna. Naruszenie mogło wpłynąć na funkcjonowanie firmy, między innymi poprzez udostępnienie wrażliwych danych przestępcom.

Wśród potencjalnie zagrożonych informacji znajdują się klucze dostępu do chmury, plany Mercedes-Benz, dokumenty projektowe, hasła SSO i wiele więcej. Gigant samochodowy na razie milczy na temat szczegółów dotyczących niebezpieczeństwa i tego, czy wyciek faktycznie wpłynął na funkcjonowanie firmy i na dane.

Z perspektywy użytkownika samochodów wiemy jeszcze mniej. Niekontrolowany dostęp do oprogramowania auta, możliwość podglądu z zewnątrz zastosowanych rozwiązań, dostęp do systemów sterowania bateriami… To wszystko brzmi jak opowieść z tekstu Moniki Krupskiej pt.: Jak zhakować samochód sąsiada (i zadbać o swój)? Poradnik! – HomoDigital – Subiektywnie o technologii.

Pozostaje mieć nadzieję, że Mercedes-Benz poważnie podejdzie do tematu odpowiednio i zadba o bezpieczeństwo – bezpieczeństwo nie tylko własności intelektualnej firmy, ale też swojego najcenniejszego zasobu, czyli zaufania klientów.

Źródło zdjęcia: Mike Bird, Pexels

Tagi:Cyberbezpieczeństwo