丰田,特斯拉等百余家车厂机密数据泄露原因是什么?

仓管云在这里提醒大家,数据信息的防护工作一定要做好,切不可为了省事而留下后门。而产生不可收拾的后果。

仓管云——实现企业高效供应链价值。


原标题《一百多家汽车厂商机密数据泄露,特斯拉通用大众丰田都中招》

  据多家外媒报道,7 月初,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库包括将近 47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。整个数据库的数据总量达 157 GB。Chris Vickery 表示,通过 Level One 的文件传输协议 rsync,可以不需要密码,直接访问他发现的这个数据库。

  Level one 创办于 2000 年,总部位于加拿大,主要提供机器人和自动化相关的工程服务,在全球有 100 多家合作伙伴。这次发现的数据库中,特斯拉、通用、大众、丰田、福特、菲亚特克莱斯勒等知名汽车厂商的商业机密都赫然在列。

  Vickery 在确认数据库来源后就联系了 Level One,随后数据库很快脱机,防止数据进一步泄露。但是,目前尚不清楚是否有其他人发现了这个数据库并下载了相关数据。

泄漏详情:

根据 UpGuard 公司的公告,此次泄露的主要原因是 Level One 在使用 rsync(广泛用于大型数据传输和备份)进行数据传输时,没有限制使用者的IP地址,导致非指定客户端也能连接。同时,他们也没有设置身份验证等用户访问权限,导致 rsync 可以公开访问,进而导致数据库裸奔。此次泄露的数据主要包括客户数据、员工信息及与 Level One 自己的资料数据这三类。

客户数据

  与 Level One 合作的多家汽车制造厂商(包括特斯拉、通用、福特、大众等)的装配线、工厂原理图、保密协议;机器人的配置、规格、动画;蓝图;ID 凭证和VPN 访问请求表;客户联系信息等。涉及厂商超过 100 家。

  此外,数据库中的资料还包括工厂布局与机器人产品的详细CAD图纸、详细的机器配置、规格和使用文,以及机器人的工作动画。

Level One 的客户向其中一些客户端发送的 ID 凭证和 VPN 访问凭证也在 rsync 中公开。

图为波音公司的凭证申请表

此外,一些高度机密的客户隐私条款、保密数据文件、以及保密性质协议等数十份保密协议的全文也统统曝光。

图为特斯拉的保密协议

员工信息

数据库中泄露的员工信息主要包括员工驾驶执照和护照扫描件、员工姓名和身份证号码,还有照片等隐私数据。

Level One 自己的资料数据

数据库中泄露的第三类数据是 Level One 公司自己的资料数据,主要包括销售信息、合作的合同、发票、报价、工作范围、客户协议、一级承包商的保险单、其他关于客户和项目的文件和常见业务文档等。此外,Level One 相关的银行信息(包括账户、路由号码以及 SWIFT 代码等)也遭曝光。

严重影响

对于汽车制造厂商而言,产品信息、工厂布局、自动化作业以及合同等是公司的高度机密。一旦这些机密信息泄露出去,就会被竞争对手以及恶意分子利用,进行不公平竞争甚至破坏汽车制造过程

对于 Level One 而言,泄露的文件涉及到许多客户公司所获得的数字和物理访问权限。虽然数据库中没有直接公开明文密码,但官方标识和 VPN 访问请求表单上的信息结合起来,再加上 Level One 的众多客户、联系人以及 Level One 员工的个人信息和照片,都可以被恶意攻击者利用,通过社会工程学等手段对公司进行攻击

对于那些被泄露姓名、身份账号、护照扫描件等个人信息的员工而言,他们遭遇钓鱼、骚扰以及金融欺诈等的风险也大大增加。

此外,Vickery 发现数据库时,rsync 服务器上设置的权限表明服务器是可公开写入的,这表明可能有人已经更改了数据库中的文档,例如替换直接存款指令中的银行帐号或嵌入恶意软件。一旦这种情况发生,所造成的后果会更加严重。

供应链已成为数据保护中最薄弱环节

现如今,供应链已经成为企业数据隐私保护中最薄弱的环节。哪怕企业本身每年花费巨资用于网络安全,也无法避免其供应商泄露数据。之前闹得沸沸扬扬的 FaceBook 数据泄露事件中,FaceBook 就在其数据处理公司剑桥分析那里栽了跟头。

  安全研究公司 Ponemon Institute 2017 年的一项调查结果表明,有 56% 的企业表示层遭遇过与供应商有关的数据泄露事件。该调查的受访者表示,平均有 470 家外部公司可以访问其敏感的公司信息,而 2016 年可访问企业敏感信息的外部公司平均数目大约为380。可想而知,在全球各领域合作日益密切的当下,这个数字只会增加不会减少。目前,随着越来越多的第三方公司获得企业的访问权,企业数据泄露的风险大幅增加。

  对于企业而言,如果供应链流程中没有考虑到数据安全,那么难免会有配置错误或其他错误而导致数据泄露。最好为自己和供应商建立一套标准化的部署流程,以便更加安全地创建和维护资产,从而降低数据泄露事件发生的几率。此外,还应当制定应急计划,一旦发生数据泄露或受到数据泄露影响,就能迅速采取行动进行补救。哪怕对于汽车制造厂商而言,汽车本身的安全性也许比数据安全更重要,但这些数据泄露所带来的后果,依然令人担忧。

当前进展

  目前,Level One 首席执行官米兰·加斯科(Milan Gasko)已经就此事作出回应,他表示公司非常重视这个问题,正在进行全面调查,但为了调查顺利进行,他拒绝披露更多细节。加斯科表示,除了发现并上报数据库泄露的安全研究员 Vickery 之外,任何外部各方几乎都不可能找到数据库入口并看到这些数据,但他并不能使用有效的工具或手段来检测到底是否有人以及有多少人未经授权访问过这个数据库。

  与此同时,通用、丰田和大众的相关人员拒绝对此发表评论。菲亚特克莱斯勒、福特和特斯拉也没有回应媒体的置评请求。具体调查结果和应对措施,只能耐心等待。

本文转载于Freebuf.COM

原文链接:http://www.freebuf.com/news/178343.html

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯技术工程官方号的专栏

威胁情报大会直击 | 企业IT部王森:腾讯企业终端安全管理最佳实践

? 8月29日,2018网络安全分析与情报大会在北京新云南皇冠假日酒店正式开幕,本次大会由国内威胁情报领军企业微步在线主办,十数位来自政府、央企、金融、互联网...

3.6K8
来自专栏FreeBuf

大华科技11款摄像头产品被曝预留了后门,可远程获取管理员账户密码(厂商已更新补丁)

最近,中国浙江的一家安全摄像头/DVR制造商大华科技(Dahua Technology)针对旗下的不少产品推送了固件升级补丁。补丁据说是为了修复某些型号中的一个...

3087
来自专栏企鹅号快讯

博览安全圈:360曝Office漏洞 微软及时回应

【IT168 资讯】为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件。 1、360曝光Office高危漏洞 微软及时发布安全...

2037
来自专栏FreeBuf

浅谈情报信息收集方式

情报收集是情报机构获取可靠、高价值信息资源的一种重要方式。本文介绍情报信息收集的主要分类,重点介绍国外情报机构常用的第四方收集是什么及其细节描述。 据卡巴斯基资...

24010
来自专栏安恒信息

大案!大案!大案! 网传A站、摩拜数据库泄露

13号凌晨,黑客聚集的暗网突现一条售卖信息,一名黑客号称出售两个权重超高的shell+内网权限,A站acfun.cn与摩拜单车,信息中称两个网站日流量均超百万,...

1912
来自专栏域名资讯

海外高价收购2字母DO.com

海外一家互联网房地产公司收购极品两字母域名Do.com,目前收购价格暂不可知。

470
来自专栏FreeBuf

医疗行业网络入侵途径与全球安全现状

患者信息泄露、医疗信息被篡改、医生误诊、遭勒索……医疗行业的网络安全末日是否已经到来?

1302
来自专栏FreeBuf

大多数路由器都存在固件缺陷使用户面临风险

如果你有一台无线路由器,那你就得小心了。因为这台路由器可能到处都是安全漏洞,而这些漏洞很可能会让你的一切陷入安全风险之中。

933
来自专栏FreeBuf

KK插件病毒感染全球700万台手机,证据显示幕后黑手来自深圳

1、概述 KK插件是一个可以在整个手机操作系统中弹出恶意广告的移动病毒。早在几个月前,在Google Play中的KK插件变种产品就已经有至少185个了,这些病...

2498
来自专栏FreeBuf

Github遭遇史上最大1.35 Tbps DDoS攻击

最大代码分发平台Github在周三遭受了一系列大规模分布式拒绝服务(DDoS)攻击。 在攻击的第一阶段,Github的网站遭受了惊人的每秒1.35太比特(Tbp...

3406

扫码关注云+社区

领取腾讯云代金券