Mercedez-Benz的GitLab伺服器配置不良，遭研究人員下載逾580個Git儲存庫

一名瑞士軟體工程師Till Kottmann近日向ZDNet爆料，他在德國汽車大廠Mercedez-Benz母公司Daimler AG就地部署的GitLab伺服器上，發現一個配置問題，使他得以下載隸屬該公司的Git儲存庫，內含許多機密資訊，包括一個應用在Mercedes-Benz廂型車上的機載邏輯元件（Onboard Logic Unit，OLU) 原始碼。

Kottmann是藉由Google搜尋的特殊查詢語句（Google Dorks）功能，找到Daimler的GitLab伺服器，Google Dorks被視為一種駭客技術，可用來搜尋配置、網站或系統的安全漏洞，而Kottmann則說他無聊的時候就會這麼做，主要是在網路上搜尋有趣的GitLab實例，這次算是捕到了大魚。

他說Daimler因未實施帳號確認程序，讓他得以利用一個不存在的Daimler企業電子郵件帳號進行註冊，於是他便從Daimler的伺服器上下載了超過580個Git的儲存庫，並將它們上傳到共享的MEGA、Internet Archive與自己的GitLab伺服器。

除了Kottmann自己的發現之外，ZDNet邀請Under the Breach，另一媒體SiliconANGLE則邀請Rapid7來分析這批資料，顯示這些Git儲存庫上不只存放了OLU原始碼，也含有Daimler內部的用戶憑證與API令牌。

根據Daimler官網上的說明，OLU是Mercedes-Benz廂型車上一個創新的控制單元，用來串接硬體與軟體之間的互動，它可將汽車連結到雲端，簡化了即時車輛資訊的管理，也讓第三方得以快速開發支援車輛的第三方應用。

資安專家指出，這些外洩資料將讓競爭對手取得重要的資訊，而憑證或API令牌則允許駭客深入Daimler系統，挖掘更多的機密訊息。

在接獲ZDNet的詢問之後，Daimler已關閉了該GitLab伺服器，但並未提供任何評論。