日産北米法人のアプリなどのソースコードが流出 / Nissan Source Code Compromised Online Due to Exposed Git Server(転載)~クラウドサービスの利用において、アクセス権設定は肝中の肝であることを改めて認識させられる~


公開されたGitサーバーにより、日産ソースコードがオンラインで侵害されました:
 

日産自動車のソースコードがオンライン上で漏洩したのは、同社がデフォルトのアクセス資格情報で保護されたGitサーバーを公開したままにしていたためだ。このリークは、スイスに拠点を置くソフトウェアエンジニアのティリー・コトマン氏がZDNetとのインタビューで明らかにしたもので、彼女は未知のソースからリークを発見し、同社のデータを分析したという。

ソースコードリポジトリには、「日産のモバイルアプリのソースコード、日産ASIST診断ツールのコンポーネント、ディーラーのビジネスシステムとディーラーポータル、同社の社内コアモバイルライブラリ、車両物流ポータル、市場調査ツール、データ、顧客獲得とリテンションツール、車両接続サービス、複数のバックエンドと社内ツールに関する重要な情報」が含まれていたという。

データが暴露され、トレントリンクやハッキングプラットフォームを介してテレグラム上で共有され始めた後、同社は昨日、Gitサーバーをシャットダウンするという予防措置を取った。メルセデス・ベンツも2020年5月、スイスのサイバーセキュリティ専門家が、同社がGitLabサーバーを誤って設定し、複数のメルセデス・ベンツのアプリやツールのソースコードを流出させていたことを発見した際に、データ流出の被害に遭っていた。

日産の広報担当者は事件を認め、さらに「日産は、会社の専有ソースコードへの不適切なアクセスについて、直ちに調査を実施しました。我々はこの件を重く受け止め、今回のセキュリティインシデントで消費者、販売店、従業員の個人データにアクセスできなかったことを確信しています」と述べています。影響を受けたシステムは安全に保護されており、公開されたソースコードに含まれる情報が消費者や車両を危険にさらすことはないと確信しています」。

攻撃者はGitLab上の同社の公開リポジトリに手を出すことができたが、そこにはトヨタ、サンテック、ペプシ、モトローラ、メディアテック、シエラネバダコーポレーション、米空軍研究所などの大手企業の機密情報を含むフォルダが含まれているが、幸いにもすべてのフォルダには攻撃者を安全な資産に誘導するような機密情報は含まれていないという。