歡迎光臨
每天分享高質量文章

【每日安全資訊】資料泄露紅色警報 | 一百多家汽車廠商機密資料曝光,特斯拉通用大眾豐田都中招

據多家外媒報道,7 月初,來自 UpGuard 安全團隊的研究員 Chris Vickery 在網上發現了汽車供應商 Level One 的不安全資料庫,資料庫包括將近 47000 份檔案,涵蓋汽車製造廠商近十年的詳細藍圖、工廠原理圖、客戶材料(如合同、發票、工作計劃等),以及各種保密協議檔案,甚至連員工的駕駛證和護照掃描件等隱私信息也包含在內。整個資料庫的資料總量達 157 GB。Chris Vickery 表示,通過 Level One 的檔案傳輸協議 rsync,可以不需要密碼,直接訪問他發現的這個資料庫。

Level one 創辦於 2000 年,總部位於加拿大,主要提供機器人和自動化相關的工程服務,在全球有 100 多家合作伙伴。這次發現的資料庫中,特斯拉、通用、大眾、豐田、福特、菲亞特克萊斯勒等知名汽車廠商的商業機密都赫然在列。

Vickery 在確認資料庫來源後就聯繫了 Level One,隨後資料庫很快脫機,防止了資料庫進一步泄露。但是,目前尚不清楚是否有其他人發現了這個資料庫並下載了相關資料。

泄露詳情

根據 UpGuard 公司的公告,此次泄露的主要原因是 Level One 在使用 rsync(廣泛用於大型資料傳輸和備份)進行資料傳輸時,沒有限制使用者的IP地址,導致非指定客戶端也能連接。同時,他們也沒有設置身份驗證等用戶訪問權限,導致 rsync 可以公開訪問,進而導致資料庫裸奔。

此次泄露的資料主要包括客戶資料、員工信息及與 Level One 自己的資料資料這三類。

客戶資料

與 Level One 合作的多家汽車製造廠商(包括特斯拉、通用、福特、大眾等)的裝配線、工廠原理圖、保密協議;機器人的配置、規格、動畫;藍圖;ID 憑證和VPN 訪問請求表;客戶聯繫信息等。涉及廠商超過 100 家。此外,資料庫中的資料還包括工廠佈局與機器人產品的詳細CAD圖紙、詳細的機器配置、規格和使用文,以及機器人的工作動畫

此外,資料庫中的資料還包括工廠佈局與機器人產品的詳細CAD圖紙、詳細的機器配置、規格和使用文,以及機器人的工作動畫。

Level One 的客戶向其中一些客戶端發送的 ID 憑證和 VPN 訪問憑證也在 rsync 中公開。

波音公司的憑證申請表

此外,一些高度機密的客戶隱私條款、保密資料檔案、以及保密性質協議等數十份保密協議的全文也統統曝光。

特斯拉的保密協議

員工信息

資料庫中泄露的員工信息主要包括員工駕駛執照和護照掃描件、員工姓名和身份證號碼,還有照片等隱私資料。

Level One 自己的資料資料

資料庫中泄露的第三類資料是 Level One 公司自己的資料資料,主要包括銷售信息、合作的合同、發票、報價、工作範圍、客戶協議、一級承包商的保險單、其他關於客戶和專案的檔案和常見業務文件等。此外,Level One 相關的銀行信息(包括賬戶、路由號碼以及 SWIFT 代碼等)也遭曝光。


嚴重影響

對於汽車製造廠商而言,產品信息、工廠佈局、自動化作業以及合同等是公司的高度機密。一旦這些機密信息泄露出去,就會被競爭對手以及惡意分子利用,進行不公平競爭甚至破壞汽車製造過程。

對於 Level One 而言,泄露的檔案涉及到許多客戶公司所獲得的數字和物理訪問權限。雖然資料庫中沒有直接公開明文密碼,但官方標識和 VPN 訪問請求表單上的信息結合起來,再加上 Level One 的眾多客戶、聯繫人以及 Level One 員工的個人信息和照片,都可以被惡意攻擊者利用,通過社會工程學等手段對公司進行攻擊。

對於那些被泄露姓名、身份賬號、護照掃描件等個人信息的員工而言,他們遭遇釣魚、騷擾以及金融欺詐等的風險也大大增加。

此外,Vickery 發現資料庫時,rsync 服務器上設置的權限表明服務器是可公開寫入的,這表明可能有人已經更改了資料庫中的文件,例如替換直接存款指令中的銀行帳號或嵌入惡意軟體。一旦這種情況發生,所造成的後果會更加嚴重。

供應鏈已成為資料保護中最薄弱環節
現如今,供應鏈已經成為企業資料隱私保護中最薄弱的環節。哪怕企業本身每年花費巨資用於網絡安全,也無法避免其供應商泄露資料。之前鬧得沸沸揚揚的 FaceBook 資料泄露事件中,FaceBook 就在其資料處理公司劍橋分析那裡栽了跟頭。

安全研究公司 Ponemon Institute 2017 年的一項調查結果表明,有 56% 的企業表示層遭遇過與供應商有關的資料泄露事件。該調查的受訪者表示,平均有 470 家外部公司可以訪問其敏感的公司信息,而 2016 年可訪問企業敏感信息的外部公司平均數目大約為380。可想而知,在全球各領域合作日益密切的當下,這個數字只會增加不會減少。目前,隨著越來越多的第三方公司獲得企業的訪問權,企業資料泄露的風險大幅增加。

對於企業而言,如果供應鏈流程中沒有考慮到資料安全,那麼難免會有配置錯誤或其他錯誤而導致資料泄露。最好為自己和供應商建立一套標準化的部署流程,以便更加安全地創建和維護資產,從而降低資料泄露事件發生的幾率。此外,還應當制定應急計劃,一旦發生資料泄露或受到資料泄露影響,就能迅速採取行動進行補救。哪怕對於汽車製造廠商而言,汽車本身的安全性也許比資料安全更重要,但這些資料泄露所帶來的後果,依然令人擔憂。

當前進展

目前,Level One 首席執行官米蘭·加斯科(Milan Gasko)已經就此事作出回應,他表示公司非常重視這個問題,正在進行全面調查,但為了調查順利進行,他拒絕披露更多細節。加斯科表示,除了發現並上報資料庫泄露的安全研究員 Vickery 之外,任何外部各方幾乎都不可能找到資料庫入口並看到這些資料,但他並沒有相關工具或手段來檢測到底是否有人以及有多少人未經授權訪問過這個資料庫。

與此同時,通用、豐田和大眾的相關人員拒絕對此發表評論。菲亞特克萊斯勒、福特和特斯拉也沒有回應媒體的置評請求。具體調查結果和應對措施,只能耐心等待。

*參考來源:UpGuard 報告;NYT; AngelaY 編譯整理,轉載請註明來自 Freebuf.COM。

更多資訊

◈ Facebook 開源 oomd

http://t.cn/Rgr7Q0G

◈ 網民再次將被刪除的文章儲存到區塊鏈

http://t.cn/Rgr78kp

◈ macOS 用起來也得“守規矩” 否則 Calisto 病毒就會趁虛而入

http://t.cn/Rgr7EGb

◈ 誰泄露了你的信息?

http://t.cn/Rgr7npd

(信息來源於網絡,安華金和搜集整理)

赞(0)

分享創造快樂