社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

百余车厂机密数据泄露,特斯拉丰田福特大众都在内

王毓婵2018-07-23 13:41:50

未遭黑客攻击,第三方系统开门揖盗。

网络安全公司 UpGuard 发布报告称,100 多家车厂的机密数据遭到了泄露,其中包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯及大众等。

数据泄漏的源头是一家名为 Level One Robotics 的公司的公共服务器。这家加拿大公司成立于 2000 年,是以上百余家车厂共同的服务器提供商。

本次事故的始作俑者不是黑客,而是该公司自己。Level One 在一个可公开访问的服务器中使用了一种用于备份大型数据集的通用文件传输协议 rsync ,但却没有设定任何安全密码保护措施。通过该传输协议,任何用户都可无障碍访问其中的隐私数据,而且,连接到 rsync 端口的任何客户端都有权下载数据。

本次遭到泄露的数据包括车厂发展规划蓝图、装配线原理图、工厂平面图和布局、机器人配置信息、ID 徽章请求表,VPN 访问请求表、客户合同材料、保密协议文件、员工驾驶证和护照的扫描件等,共计 157 千兆字节,包含近 47000 个文件。

UpGuard 的安全团队称在 7 月 1 日发现了该漏洞,然后在 7 月 9 日联系到了 Level One。接到通知后的第二天,Level One 采取断网脱机的方式,暂时终止了数据泄露。

目前不清楚是否已有人拿到了这些数据,Level One CEO 米兰·加斯科(Milan Gasko)拒绝讨论案件细节。

“Level One 非常重视针对我们涉嫌暴露数据的指控,并正在努力对这一事件的程度和后果进行全面调查。”加斯科说,“为了保持调查的公正性,我们目前不会发表任何评论。”

发现了这场大乌龙的 UpGuard 可以被看作是一个“白帽子”团队,其主管 Chris Vickery 称自己的职业就是“寻找无人看管的数据库”。此前被他发现含有漏洞的系统包括社会医疗记录、机场安检档案记录、酒店预订记录、恐怖分子筛选数据库和 8700 万墨西哥选民登记记录库等。

在提醒数据库主管漏洞的存在之后,Chris Vickery 会在确保数据源得到保护的情况下公开整个事件。虽然没有企业或政府部门会希望 Chris Vickery 如此公开自己的错误,但是他坚持这么做。

“如果我们一直沉默,网络安全不可能变好,”Vickery 说,“因为人们会试图掩盖错误,这伤害了我们的社会。除非让这些人意识到问题的存在,不然他们不会有任何改进。”

但整场事件对于特斯拉、丰田、大众等车厂来说,就几乎是无端躺枪、飞来横祸了。《纽约时报》评论称,这件事给了大企业一个教训,让他们意识到第三方供应商很有可能成为泄露其核心机密的软肋。

安全研究公司 Ponemon Institute 去年调查的企业中有 56% 表示他们曾遇到过与供应商有关的数据泄露问题。随着越来越多的第三方公司轻松获得大企业数据库访问权,这种风险只会增加:该调查发现,平均每家公司有 470 家外部公司可以访问其敏感信息库,而一年前这一数字大约为 380。

上个月,票务公司 Ticketmaster 称,数千名客户的付款信息被盗,原因是第三方公司 Inbenta 在 TicketMaster 网站上运行的聊天机器人软件存在漏洞。2013 年,黑客在泛欧实时全额自动清算系统 Target 的支付终端窃取了 4000 万客户的信用卡和借记卡信息,就是从 Target 的一家供暖和通风承包商处获得了该系统的入口。


题图/VisualHunt

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。