超过100家汽车厂商敏感信息泄露,通用、丰田、特斯拉等无一幸免

BaCde  2343天前

概述

来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的敏感数据,数据包括将近 47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。泄露数据大小达 157 GB。Chris Vickery 表示,通过 Level One 的文件传输协议 rsync,可以不需要密码,直接访问这些文件。Vickery 在确认数据来源后就联系了 Level One,随后该服务器做下线处理,防止了数据进一步泄露。但是,目前尚不清楚是否有其他人发现了这些数据并下载。

1111.jpg

Level one 创办于 2000 年,总部位于加拿大,主要提供机器人和自动化相关的工程服务,在全球有 100 多家合作伙伴。这次发现泄露的数据中特斯拉、通用、大众、丰田、福特、菲亚特克莱斯勒等知名汽车厂商的商业机密都赫然在列。

泄露原因

此次泄露的原因主要由于Level One未对自己的RSYNC服务设置密码,导致任何人都可以在不需要密码的情况下访问这些敏感文件。最终造成数据泄露。此次泄露的数据主要包括客户数据、员工信息及与 Level One 自己的资料数据这三类。

根据白帽汇FOFA系统显示,全球共有154880个对外开放的RSYNC服务,中国使用最多,共有54839个对外开放。这些开放的服务中不乏存在你未授权访问的服务。建议大家尽快检查自己的自身服务,及时为该服务设置复杂的密码,保护自己数据不被泄露。

1111.png

RSYNC全球分布情况(仅为分布情况,非未授权访问分布)

2222.png

RSYNC国内分布情况(仅为分布情况,非未授权访问分布)

泄露数据详情

客户数据

与 Level One 合作的多家汽车制造厂商(包括特斯拉、通用、福特、大众等)的装配线、工厂原理图、保密协议;机器人的配置、规格、动画;蓝图;ID 凭证和VPN 访问请求表;客户联系信息等。涉及厂商超过 100 家。

3333.png

此外,资料还包括工厂布局与机器人产品的详细CAD图纸、详细的机器配置、规格和使用文,以及机器人的工作动画。

4444.png


5555.png

Level One 的客户向其中一些客户发送的 ID 凭证和 VPN 访问凭证也在 rsync 中公开。

6666.png波音公司的凭证申请表

此外,一些高度机密的客户隐私条款、保密数据文件、以及保密性质协议等数十份保密协议的全文也统统曝光。

7777.png特斯拉的保密协议

员工信息

泄露的员工信息主要包括员工驾驶执照和护照扫描件、员工姓名和身份证号码,还有照片等隐私数据

8888.png9999.png

Level One 自己的资料数据

数据库中泄露的第三类数据是 Level One 公司自己的资料数据,主要包括销售信息、合作的合同、发票、报价、工作范围、客户协议、一级承包商的保险单、其他关于客户和项目的文件和常见业务文档等。此外,Level One 相关的银行信息(包括账户、路由号码以及 SWIFT 代码等)也遭曝光。

1010.png

事件进展

目前,Level One 首席执行官Milan Gasko已经就此事作出回应,他表示公司非常重视这个问题,正在进行全面调查,但为了调查顺利进行,他拒绝披露更多细节。Milan Gasko表示,除了发现并上报数据库泄露的安全研究员 Vickery 之外,任何外部各方几乎都不可能找到数据库入口并看到这些数据,但他并没有相关工具或手段来检测到底是否有人以及有多少人未经授权访问过这个数据库。

与此同时,通用、丰田和大众的相关人员拒绝对此发表评论。菲亚特克莱斯勒、福特和特斯拉也没有回应媒体的置评请求。具体调查结果和应对措施,只能耐心等待。

反思

众多的数据泄露已经让大家屡见不鲜,从各国的选民数据泄露,最近不久的facebook事件到这次的汽车资料泄露可以看出,企业除自身做好安全防范是不够的,攻击者还可以从供应商进行攻击。当厂商发现相关泄露时,应该及时进行处理,也建议供应商也加强安全防范,减少数据泄露事件的发生。建议企业做好渗透测试、安全审计、建立应急响应机制,安全规范等来提高安全。安全无小事,因为它涉及的不仅是厂商自己,还有许许多多的全球网民。(以上仅为个人观点,与NOSEC平台无关)

引用

[1] https://www.upguard.com/breaches/short-circuit-how-a-robotics-vendor-exposed-confidential-data-for-major-manufacturing-companies

[2] http://www.freebuf.com/news/178343.html

最新评论

路人甲甲  :  157 GB这下载就要下多久,国外拖数据不违法的么~
2343天前 回复
zwell  :  不知道的可以关注这篇文章:《安全图腾》**s://weibo.com/ttarticle/p/show?id=2309404120743112779621
2343天前 回复
凯歌  :  厉害了
2343天前 回复
昵称
邮箱
提交评论