メルセデス・ベンツの車載演算装置(OLU)のソースコードが流出
「メルセデス・ベンツ」などのブランドで知られる自動車メーカー・ダイムラーが自社運用しているGitリポジトリマネージャー・GitLabのセキュリティ設定に問題があり、ダイムラーの社員以外でも車載演算装置(Onboard Logic Unit:OLU)のソースコードが見られるようになっていたことが、ソフトウェアエンジニアのティル・コットマン氏によって報告されています。
the leak is around 550 repos and very well documented.
— Till Kottmann (@deletescape) May 15, 2020
they are from one of the largest german corporations.
it's a hardware platform for a very specific usecase, but this leak should allow recreating it with low cost hardware.
???? https://t.co/T4cU8q003Q pic.twitter.com/pLk6nUH0me
— Till Kottmann (@deletescape) May 17, 2020
ソフトウェアプロジェクトの管理にGitリポジトリマネージャーを導入している事例は多数あり、「メルセデス・ベンツ」「ウニモグ」などのブランドを展開する自動車メーカーのダイムラーもその1つ。ダイムラーではGitLabを導入して自社運用し、OLUのソースコードなどを置いていました。
OLUとは、ダイムラーのサイトによると「ハードウェアとソフトウェアの効果的な相互作用を実現する『革新的制御ユニット』」であり、車両をクラウドに接続することで、たとえば車両に関する専門技術を持たないユーザーでも手軽に車両の管理ができたり、第三者メーカーがアプリを簡単に素早く開発して車両に実装できたりするとのこと。
今回、コットマン氏がダイムラーのGitLabを発見したのは、もともと「何か面白いGitLabインスタンスはないか」と探すことがあったのがきっかけ。ダイムラーのGitLabではアカウント登録時の確認工程に不備があり、ダイムラー社に存在しない社員のメールアドレスでもアカウント登録ができたため、コットマン氏は580以上のGitリポジトリを見ることができたとのこと。
Mercedes-Benz onboard logic unit (OLU) source code leaks online | ZDNet
https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/
ニュースサイト・ZDNetが内容を確認したところ、資料のライセンスには「オープンソース」となっているものはなく、外部への公開を意図した資料ではないとみられています。一方で、当該資料が独占的技術であることを示す記載もなかったとのこと。情報流出についてダイムラーに連絡したところ、ダイムラーはGitLabのサーバーを落としたとのことです。
・関連記事
Appleが流出したiBootソースコードは本物と認めGitHubに削除依頼、ただし最新iOSは安全と表明 - GIGAZINE
Valveの人気オンラインゲーム2タイトルのソースコードが流出、公式は片方についてのみ言及 - GIGAZINE
オープンソース化されたMS-DOSのソースコードがGitHubで公開される - GIGAZINE
・関連コンテンツ