百餘車廠機密數據泄露，特斯拉豐田福特大眾都在內

網路安全公司UpGuard 發布報告稱，100 多家車廠的機密數據遭到了泄露，其中包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田、蒂森克虜伯及大眾等。

數據泄漏的源頭是一家名為 Level One Robotics 的公司的公共伺服器。這家加拿大公司成立於 2000 年，是以上百餘家車廠共同的伺服器提供商。

本次事故的始作俑者不是黑客，而是該公司自己。Level One 在一個可公開訪問的伺服器中使用了一種用於備份大型數據集的通用文件傳輸協議 rsync ，但卻沒有設定任何安全密碼保護措施。通過該傳輸協議，任何用戶都可無障礙訪問其中的隱私數據，而且，連接到 rsync 埠的任何客戶端都有權下載數據。

本次遭到泄露的數據包括車廠發展規劃藍圖、裝配線原理圖、工廠平面圖和布局、機器人配置信息、ID 徽章請求表，VPN 訪問請求表、客戶合同材料、保密協議文件、員工駕駛證和護照的掃描件等，共計 157 千兆位元組，包含近 47000 個文件。

UpGuard 的安全團隊稱在 7 月 1 日發現了該漏洞，然後在 7 月 9 日聯繫到了 Level One。接到通知後的第二天，Level One 採取斷網離線的方式，暫時終止了數據泄露。

目前不清楚是否已有人拿到了這些數據，Level One CEO 米蘭·加斯科（Milan Gasko）拒絕討論案件細節。

「Level One 非常重視針對我們涉嫌暴露數據的指控，並正在努力對這一事件的程度和後果進行全面調查。」加斯科說，「為了保持調查的公正性，我們目前不會發表任何評論。」

在提醒資料庫主管漏洞的存在之後，Chris Vickery 會在確保數據源得到保護的情況下公開整個事件。雖然沒有企業或政府部門會希望 Chris Vickery 如此公開自己的錯誤，但是他堅持這麼做。

「如果我們一直沉默，網路安全不可能變好，」Vickery 說，「因為人們會試圖掩蓋錯誤，這傷害了我們的社會。除非讓這些人意識到問題的存在，不然他們不會有任何改進。」

但整場事件對於特斯拉、豐田、大眾等車廠來說，就幾乎是無端躺槍、飛來橫禍了。《紐約時報》評論稱，這件事給了大企業一個教訓，讓他們意識到第三方供應商很有可能成為泄露其核心機密的軟肋。

安全研究公司 Ponemon Institute 去年調查的企業中有 56％ 表示他們曾遇到過與供應商有關的數據泄露問題。隨著越來越多的第三方公司輕鬆獲得大企業資料庫訪問權，這種風險只會增加：該調查發現，平均每家公司有 470 家外部公司可以訪問其敏感信息庫，而一年前這一數字大約為 380。

上個月，票務公司 Ticketmaster 稱，數千名客戶的付款信息被盜，原因是第三方公司 Inbenta 在 TicketMaster 網站上運行的聊天機器人軟體存在漏洞。2013 年，黑客在泛歐實時全額自動清算系統 Target 的支付終端竊取了4000 萬客戶的信用卡和借記卡信息，就是從 Target 的一家供暖和通風承包商處獲得了該系統的入口。

我們做了一個壁紙應用，給你的手機加點好奇心。去 App 商店搜好奇怪下載吧。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！