Silné heslo je dôležité, presvedčila sa o tom aj spoločnosť Nissan


Známa automobilka Nissan zaznamenala veľký únik zdrojových kódov k svojim službám. Medzi uniknutými zdrojovými kódmi sú aj tie k službám a aplikáciám ako Nissan Connect, systém pre predaj a dealerov (predajcov), diagnostické nástroje používané v servisoch, logistický portál, mobilné aplikácie a ďalšie nástroje spoločnosti Nissan. Zdrojové kódy boli odcudzené pobočke pre severnú Ameriku.

Zdrojové kódy sa už objavili na rôznych fórach a sú dostupné k stiahnutiu na tzv. darknete (časť internetu, ktorú využívajú zločinci a internetový kriminálnici na ilegálnu činnosť). Podľa aktuálnych vyjadrení neboli odcudzené žiadne databázy a ani údaje o zamestnancoch alebo zákazníkoch. Problém je však v tom, že ak sa dostanú zdrojové kódy ku skúsenejšiemu útočníkovi – hackerovi, ten dokáže ich analýzou nájsť slabé miesta alebo chyby v službách spoločnosti Nissan, a následne ich využiť k ďalšiemu kybernetickému útoku.

Ako sa to stalo?

Podľa dostupných informácií boli zdrojové kódy ukradnuté pre triviálnu chybu v konfigurácii GIT servera, ktorý sa používa na zdieľanie zdrojových kódov medzi zamestnancami – programátormi. Server bol nakonfigurovaný tak, že nebolo zmenené prihlasovacie meno a heslo, ktoré sa štandardne prednastaví po dokončení inštalácie servera. Jedná sa o obrovskú bezpečnostnú chybu zamestnanca, ktorý inštaláciu vykonal. Meno a heslo ostalo nastavené na údaje „Admin / Admin“ a útočníkom sa takýmto spôsobom podarilo prihlásiť na daný server a stiahnuť dostupné zdrojové kódy. Aktuálne spoločnosť Nissan vypla problematický server a pracuje na odstránení chyby. To však nemení nič na situácii, že k ich zdrojovým kódom má aktuálne prístup široká komunita kybernetických útočníkov a hackerov.