Passer au contenu

Nissan a laissé traîner ses codes sources sur la Toile… à cause d’une erreur de débutant

Un serveur de développement était accessible par les identifiants « admin/admin » et donnait accès, entre autres, à des applications mobiles, des librairies et des outils de diagnostic.

Nissan North America a laissé quasiment en accès libre l’un de ses serveurs de développement Git. On pouvait s’y connecter avec les identifiants par défaut « admin/admin » et, ainsi, accéder à tout un tas de codes sources et de données sensibles : applications mobiles, librairies logicielles, logiciels de diagnostic, outils commerciaux et marketing, etc.

https://twitter.com/antiproprietary/status/1346238588476915713

Cette faille a été découverte lundi dernier par un informaticien suisse, Till Kottmann, qui a ensuite livré les liens de téléchargement de l’ensemble de ces données par le biais d’un canal Telegram. Le serveur a depuis été déconnecté.

Ce n’est pas la première fois que l’on assiste à ce genre de bévue. En mai dernier, Till Kottmann avait déjà découvert des serveurs Git en accès libre chez Daimler Mercedes, ce qui lui a permis de télécharger plus de 580 dépôts de logiciels et de les diffuser à son tour, avant d’alerter le constructeur. Apparemment, le groupe Daimler ne lui en a pas tenu rigueur. Il a déconnecté son serveur Git et demandé à l’informaticien de retirer les données, ce qu’il a fait.

Pour trouver ces différents serveurs ouverts aux quatre vents, Till Kottmann utilise simplement des requêtes Google spécialisées, appelés Google Dorks.

Source : ZDnet

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN