知識星球據多家外媒報道,7 月初,來自 UpGuard 安全團隊的研究員 Chris Vickery 在網上發現了汽車供應商 Level One 的不安全資料庫,資料庫包括將近 47000 份檔案,涵蓋汽車製造廠商近十年的詳細藍圖、工廠原理圖、客戶材料(如合同、發票、工作計劃等),以及各種保密協議檔案,甚至連員工的駕駛證和護照掃描件等隱私資訊也包含在內。整個資料庫的資料總量達 157 GB。Chris Vickery 表示,透過 Level One 的檔案傳輸協議 rsync,可以不需要密碼,直接訪問他發現的這個資料庫。
Level one 創辦於 2000 年,總部位於加拿大,主要提供機器人和自動化相關的工程服務,在全球有 100 多家合作伙伴。這次發現的資料庫中,特斯拉、通用、大眾、豐田、福特、菲亞特克萊斯勒等知名汽車廠商的商業機密都赫然在列。
Vickery 在確認資料庫來源後就聯絡了 Level One,隨後資料庫很快離線,防止了資料庫進一步洩露。但是,目前尚不清楚是否有其他人發現了這個資料庫並下載了相關資料。
洩露詳情
根據 UpGuard 公司的公告,此次洩露的主要原因是 Level One 在使用 rsync(廣泛用於大型資料傳輸和備份)進行資料傳輸時,沒有限制使用者的IP地址,導致非指定客戶端也能連線。同時,他們也沒有設定身份驗證等使用者訪問許可權,導致 rsync 可以公開訪問,進而導致資料庫裸奔。
此次洩露的資料主要包括客戶資料、員工資訊及與 Level One 自己的資料資料這三類。
客戶資料
與 Level One 合作的多家汽車製造廠商(包括特斯拉、通用、福特、大眾等)的裝配線、工廠原理圖、保密協議;機器人的配置、規格、動畫;藍圖;ID 憑證和VPN 訪問請求表;客戶聯絡資訊等。涉及廠商超過 100 家。此外,資料庫中的資料還包括工廠佈局與機器人產品的詳細CAD圖紙、詳細的機器配置、規格和使用文,以及機器人的工作動畫
此外,資料庫中的資料還包括工廠佈局與機器人產品的詳細CAD圖紙、詳細的機器配置、規格和使用文,以及機器人的工作動畫。
Level One 的客戶向其中一些客戶端傳送的 ID 憑證和 VPN 訪問憑證也在 rsync 中公開。
波音公司的憑證申請表
此外,一些高度機密的客戶隱私條款、保密資料檔案、以及保密性質協議等數十份保密協議的全文也統統曝光。
特斯拉的保密協議
員工資訊
資料庫中洩露的員工資訊主要包括員工駕駛執照和護照掃描件、員工姓名和身份證號碼,還有照片等隱私資料。
Level One 自己的資料資料
資料庫中洩露的第三類資料是 Level One 公司自己的資料資料,主要包括銷售資訊、合作的合同、發票、報價、工作範圍、客戶協議、一級承包商的保險單、其他關於客戶和專案的檔案和常見業務檔案等。此外,Level One 相關的銀行資訊(包括賬戶、路由號碼以及 SWIFT 程式碼等)也遭曝光。
嚴重影響
對於汽車製造廠商而言,產品資訊、工廠佈局、自動化作業以及合同等是公司的高度機密。一旦這些機密資訊洩露出去,就會被競爭對手以及惡意分子利用,進行不公平競爭甚至破壞汽車製造過程。
對於 Level One 而言,洩露的檔案涉及到許多客戶公司所獲得的數字和物理訪問許可權。雖然資料庫中沒有直接公開明文密碼,但官方標識和 VPN 訪問請求表單上的資訊結合起來,再加上 Level One 的眾多客戶、聯絡人以及 Level One 員工的個人資訊和照片,都可以被惡意攻擊者利用,透過社會工程學等手段對公司進行攻擊。
對於那些被洩露姓名、身份賬號、護照掃描件等個人資訊的員工而言,他們遭遇釣魚、騷擾以及金融欺詐等的風險也大大增加。
此外,Vickery 發現資料庫時,rsync 伺服器上設定的許可權表明伺服器是可公開寫入的,這表明可能有人已經更改了資料庫中的檔案,例如替換直接存款指令中的銀行帳號或嵌入惡意軟體。一旦這種情況發生,所造成的後果會更加嚴重。
供應鏈已成為資料保護中最薄弱環節
現如今,供應鏈已經成為企業資料隱私保護中最薄弱的環節。哪怕企業本身每年花費巨資用於網路安全,也無法避免其供應商洩露資料。之前鬧得沸沸揚揚的 FaceBook 資料洩露事件中,FaceBook 就在其資料處理公司劍橋分析那裡栽了跟頭。
安全研究公司 Ponemon Institute 2017 年的一項調查結果表明,有 56% 的企業表示層遭遇過與供應商有關的資料洩露事件。該調查的受訪者表示,平均有 470 家外部公司可以訪問其敏感的公司資訊,而 2016 年可訪問企業敏感資訊的外部公司平均數目大約為380。可想而知,在全球各領域合作日益密切的當下,這個數字只會增加不會減少。目前,隨著越來越多的第三方公司獲得企業的訪問權,企業資料洩露的風險大幅增加。
對於企業而言,如果供應鏈流程中沒有考慮到資料安全,那麼難免會有配置錯誤或其他錯誤而導致資料洩露。最好為自己和供應商建立一套標準化的部署流程,以便更加安全地建立和維護資產,從而降低資料洩露事件發生的機率。此外,還應當制定應急計劃,一旦發生資料洩露或受到資料洩露影響,就能迅速採取行動進行補救。哪怕對於汽車製造廠商而言,汽車本身的安全性也許比資料安全更重要,但這些資料洩露所帶來的後果,依然令人擔憂。
當前進展
目前,Level One 執行長米蘭·加斯科(Milan Gasko)已經就此事作出回應,他表示公司非常重視這個問題,正在進行全面調查,但為了調查順利進行,他拒絕披露更多細節。加斯科表示,除了發現並上報資料庫洩露的安全研究員 Vickery 之外,任何外部各方幾乎都不可能找到資料庫入口並看到這些資料,但他並沒有相關工具或手段來檢測到底是否有人以及有多少人未經授權訪問過這個資料庫。
與此同時,通用、豐田和大眾的相關人員拒絕對此發表評論。菲亞特克萊斯勒、福特和特斯拉也沒有回應媒體的置評請求。具體調查結果和應對措施,只能耐心等待。
*參考來源:UpGuard 報告;NYT; AngelaY 編譯整理,轉載請註明來自 Freebuf.COM。
更多資訊
◈ Facebook 開源 oomd
http://t.cn/Rgr7Q0G
◈ 網民再次將被刪除的文章儲存到區塊鏈
http://t.cn/Rgr78kp
◈ macOS 用起來也得“守規矩” 否則 Calisto 病毒就會趁虛而入
http://t.cn/Rgr7EGb
◈ 誰洩露了你的資訊?
http://t.cn/Rgr7npd
(資訊來源於網路,安華金和蒐集整理)
