史上最嚴(yán)重?cái)?shù)據(jù)車禍：100+車廠機(jī)密全曝光，通用豐田特斯拉中招

本文轉(zhuǎn)自 量子位

前所未有的數(shù)據(jù)車禍?zhǔn)录?/p>

不是1家2家，也不分傳統(tǒng)車廠和造車新勢(shì)力。

100多家車廠，從通用汽車、菲亞特克萊斯勒、福特、豐田，大眾到特斯拉，現(xiàn)在機(jī)密數(shù)據(jù)統(tǒng)統(tǒng)被供應(yīng)商的共同服務(wù)器曝光。

而且細(xì)思極恐的是，沒人知道這個(gè)安全風(fēng)險(xiǎn)何時(shí)開始，也無法知道是否還有別人發(fā)現(xiàn)，更不知道數(shù)據(jù)是否已經(jīng)外泄。

近日，數(shù)據(jù)安全事件的當(dāng)事主角叫Level One，一家2000年創(chuàng)辦于加拿大的汽車供應(yīng)商，由于提供機(jī)器人和自動(dòng)化方面的工程服務(wù)，在全球有100多家合作伙伴。然而，正是這樣一家“能力越大責(zé)任越大”的供應(yīng)商，被網(wǎng)絡(luò)安全公司UpGuard的研究員Chris Vickery發(fā)現(xiàn)，數(shù)據(jù)后門大開，輕松訪問其合作伙伴的機(jī)密文件。

從車廠發(fā)展藍(lán)圖規(guī)劃、工廠原理、制造細(xì)節(jié)，到客戶合同材料、工作計(jì)劃，再到各種保密協(xié)議文件……甚至員工的駕駛證和護(hù)照的掃描件等隱私信息，共計(jì)157千兆字節(jié)，包含近47，000個(gè)文件。

數(shù)據(jù)之機(jī)密和豐富，令人背后發(fā)涼。

事件詳情

事情目前可最早追溯到本月1號(hào)。當(dāng)時(shí)UpGuard安全團(tuán)隊(duì)的研究員Chris Vickery首次“盯上”了這個(gè)數(shù)據(jù)庫。

在UpGuard，Chris Vickery的核心工作就是檢查那些“無人看守”的緩存數(shù)據(jù)庫，并檢查是否存在無密碼訪問的可能。因此，也有人將他崗位稱為：互聯(lián)網(wǎng)數(shù)據(jù)庫的看門狗。

但就在反復(fù)檢查過程中，Chris Vickery確認(rèn)，泄露源正是供應(yīng)商Level One，通過Level One的文件傳輸協(xié)議rsync，可以無障礙訪問上述所有隱私數(shù)據(jù)。

于是7月9日，Chris Vickery聯(lián)系到Level One，10日，Level One采取斷網(wǎng)脫機(jī)的方式，暫時(shí)止住了數(shù)據(jù)庫裸露。

罪魁禍?zhǔn)椎膔sync其實(shí)是一種廣泛使用的應(yīng)用程序，經(jīng)常用于大型數(shù)據(jù)傳輸和備份。但是，如果不采取適當(dāng)?shù)牟襟E限制rsync服務(wù)，數(shù)據(jù)可能就有泄露的風(fēng)險(xiǎn)。

這一次，Level One錯(cuò)在沒有限制使用者的IP地址，讓非指定客戶端也能連接，并且也沒有設(shè)置用戶訪問權(quán)限，比如客戶端在接收信息前進(jìn)行身份驗(yàn)證等。

也就是說，在沒有這些措施保障的情況下，rsync是可以公開訪問的。

而且這次數(shù)據(jù)暴露的規(guī)模之大，已經(jīng)超乎了當(dāng)事人和吃瓜群眾的想象。

暴露的信息主要包括客戶數(shù)據(jù)、員工信息及與Level One協(xié)議數(shù)據(jù)三類。

都很頭疼，都是定時(shí)炸彈。

客戶數(shù)據(jù)包括與Level One合作的通用、福特、特斯拉等100多家大型制造商的裝配線和工廠原理圖，保密協(xié)議和機(jī)器人的配置、規(guī)格、演示動(dòng)畫等。

工廠布局和機(jī)器人產(chǎn)品的詳細(xì)CAD圖紙也包含在數(shù)據(jù)中。

除了原理圖外，詳細(xì)說明的機(jī)器配置、規(guī)格和使用文檔，以及機(jī)器人在工作時(shí)的動(dòng)畫也已暴露。

Level One的客戶向其中一些客戶端發(fā)送的ID證章和VPN憑證也在rsync中公開。

發(fā)現(xiàn)的波音公司的證章申請(qǐng)表。

最具諷刺意味的是，數(shù)十份保密協(xié)議的全文也在曝光行列，客戶隱私條款、保密數(shù)據(jù)文件、以及保密性質(zhì)協(xié)議，統(tǒng)統(tǒng)外露。

特斯拉的保密協(xié)議

驚不驚悚，意不意外？但暴露的事項(xiàng)不僅僅這些。

第二類是客戶的員工數(shù)據(jù)，包括員工駕駛執(zhí)照和護(hù)照掃描件、員工姓名和身份證號(hào)碼，還有照片等隱私數(shù)據(jù)。

護(hù)照掃描件信息

最后，還有Level One自己的數(shù)據(jù)。比一些合作的合同、發(fā)票、報(bào)價(jià)、工作范圍和客戶協(xié)議等，也在該數(shù)據(jù)庫中。

發(fā)現(xiàn)的One Level的銀行文檔

也就是說，對(duì)于這100多家制造商來說，從內(nèi)部人員到外部合作方數(shù)據(jù)，都已昭告天下——更悲劇的是，在漏洞曝光之前，是否有其他人士訪問過，目前還沒有結(jié)論。

更別說這些數(shù)據(jù)一旦落入“別有用心”人士之手，將會(huì)造成怎樣的威脅。

隱患警報(bào)

對(duì)于車廠來說，工廠布局、自動(dòng)化流程和機(jī)器人規(guī)格等重要競爭力，最終決定了公司的輸出潛力。

這些機(jī)密信息一旦被外人知悉，可能會(huì)招來競爭對(duì)手的的抄襲和叵測(cè)居心人的惡意破壞。

車廠競爭方面的底褲，也沒有秘密可言了。

更令人不安的是，這些文件涉及到100多家制造商獲得數(shù)字和物理訪問的權(quán)限。

而且，在漏洞發(fā)現(xiàn)時(shí)，rsync服務(wù)器上設(shè)置的權(quán)限表明，服務(wù)器竟然是可公開寫入的？！

這意味著一些人可能已經(jīng)更改了里面的文檔，比如可能直接替換存款指令中的銀行帳號(hào)或嵌入惡意軟件。

這是一次嚴(yán)重的安全事故車禍現(xiàn)場(chǎng)，給這100多家制造商帶來的安全風(fēng)險(xiǎn)后患無窮。

汽車制造，人命關(guān)天。

如果別有用心的人士已經(jīng)獲取了這些數(shù)據(jù)，然后用于汽車關(guān)鍵部件的漏洞攻擊，想想就令人不寒而栗。

最后，因?yàn)檫€包含了不少個(gè)人相關(guān)的隱私數(shù)據(jù)，是否會(huì)被用來其他危險(xiǎn)使用，都不得而知。

并且通過相關(guān)信息撞庫，還可能造成連鎖數(shù)據(jù)泄露，威脅遠(yuǎn)不止汽車數(shù)據(jù)本身。

目前進(jìn)展

截至目前，Level One首席執(zhí)行官米蘭-加斯科已經(jīng)做出了回應(yīng)，他說非常重視這一問題，并在進(jìn)行全面調(diào)查，但還不能披露更多細(xì)節(jié)。

而相關(guān)涉及的車廠，肯定也已經(jīng)著急成熱鍋螞蟻了，但現(xiàn)在心中再痛，他們也只能選擇不予置評(píng)。

另外，Level One CEO還表示，除了安全研究員Vickery之外，任何外部各方幾乎不可能找到該入口、看到這些數(shù)據(jù)，但他并沒有相關(guān)工具或手段來證明：都有誰訪問過該數(shù)據(jù)庫。

然而這個(gè)解釋有些too young、too simple，sometimes naive。米蘭-加斯科以為只有Vickery這樣信息安全專家才會(huì)發(fā)現(xiàn)這漏洞。

但Chris Vickery也說了，通過暴露的備份服務(wù)器就能輕松找到Level One的數(shù)據(jù)，并且不需要密碼或特殊訪問權(quán)限，任何連接的人都可以下載這些材料。

對(duì)于這起數(shù)據(jù)車禍，只能說明Level One這樣的供應(yīng)商真太大意了。

而且此次無疑又給我們上了一課：第三方供應(yīng)商和承包商可能造成的數(shù)據(jù)泄露風(fēng)險(xiǎn)，例子開始一個(gè)接一個(gè)。

就在上個(gè)月，票務(wù)公司Ticketmaster也表示數(shù)千名客戶的付款信息被盜，源頭則是Inbenta公司在TicketMaster網(wǎng)站上運(yùn)行客戶支持聊天機(jī)器人的軟件存在漏洞。

另外別忘了，震驚全球的Facebook數(shù)據(jù)泄露事件，源頭也是在第三方公司“劍橋分析”。

安全研究公司Ponemon去年調(diào)查的企業(yè)中，有56%表示他們?cè)庥隽斯?yīng)商相關(guān)的數(shù)據(jù)泄露事件。而且在越來越多第三方獲得公司訪問權(quán)的時(shí)候，數(shù)據(jù)泄露的風(fēng)險(xiǎn)就在增加。

此外，越來越多的第三方公司還能獲得敏感信息，而且每年正在呈現(xiàn)24%的增長。

加之越來越強(qiáng)大的AI算法，給越來越多此前“沒啥用”的數(shù)據(jù)插上了翅膀。

新時(shí)代里的安全事件，每一次都可能炸出新高度。

多方評(píng)價(jià)

這場(chǎng)數(shù)據(jù)災(zāi)難曝光后，外媒、Twitter等網(wǎng)友聚集地已經(jīng)炸開了鍋。

外媒《紐約時(shí)報(bào)》在報(bào)道的標(biāo)題中用了“BIG RED FLAG”的描述，這指代危險(xiǎn)信號(hào)，也經(jīng)常用來隱喻成“讓人生氣的事情”。

做了多年的老產(chǎn)品經(jīng)理Mark Schettenhelm感慨，企業(yè)和個(gè)人應(yīng)該多關(guān)注下供應(yīng)商的狀況。如果他們不安去，則你也會(huì)遇到危險(xiǎn)。

也有網(wǎng)友表示出面對(duì)此事無力感：數(shù)據(jù)泄露是一件多么可能發(fā)生的容易事情。

當(dāng)然，也有網(wǎng)友認(rèn)為導(dǎo)致的這場(chǎng)事故發(fā)生的One Level很是讓人氣憤，甚至有人在Reddit上評(píng)論說：“這家公司應(yīng)該消失了。”

(責(zé)編：于洪凱)

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。