供應商承包商成汽車廠商軟肋 福特通用豐田等商業機密遭泄露

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

技術信息對於汽車廠商的重要性不言而喻。裝配線機器以及專有機器人更是廠商保守最為嚴格的商業機密。然而，安全研究員Chris Vickery剛剛發現了一個令人吃驚的事實。

著名汽車廠商的機密文檔遭泄露

全球幾乎所有大型汽車廠商的成千上萬份敏感企業文檔被暴露，其中包括和加拿大的一家小公司 Level One Robotics and Controls （以下簡稱 「LevelOne」）有往來的百餘家汽車廠商的相關資料。

被泄露的文檔包括詳細的藍圖和工廠原理圖；客戶材料如合同、發票和工作計劃；甚至還有說明被暴露信息敏感程度的數十個相互保密協議。

目前尚不清楚除了 Vickery 和 Level One 員工以外，是否還有人看到或下載這些未經保護的敏感信息。這些信息中還包括 Level One 員工的一些個人數據如駕照和護照的掃描件，不過除此以外均為企業機密。

Vickey 上上周將此事告知 Level One 公司，後者在一天內將資料拿下。

供應商承包商成「蟻穴」

這件事說明了企業遇到的一個問題是，某些最大的安全風險源自供應商和承包商。近期發生的很多數據泄露事件始於供應商的錯誤。2013年，黑客滲透至塔吉特 (Target) 支付終端並盜取4000萬消費者的信用卡和儲蓄卡信息。黑客首先攻擊塔吉特的一家供暖和通風承包商，然後使用被盜信息獲得對塔吉特系統的訪問許可權。

上個月，Ticketmaster 披露稱數千名消費者的支付信息遭暴露，而黑客利用的是為該公司網站提供客戶支持和聊天機器人服務的公司 Inbenta 所使用軟體中的一個漏洞。

安全研究公司 Ponemon Institute 在去年發布調查結果表示，56%的受調查企業表示曾遭受因供應商而引發的數據泄露事件。隨著越來越多的第三方企業獲得訪問許可權，這個數字只增不減：受訪者表示平均由470家外部企業能訪問敏感的企業信息，而之前這個數字為380家左右。

汽車信息分享和分析中心的執行主管 Faye Francy 表示，汽車行業的供應鏈深入複雜，人們對第三方帶來的安全風險的擔憂不斷加深。通常而言，汽車廠商首要的安全任務是汽車風險如可導致汽車關鍵組件遭攻擊的漏洞等。被泄露的企業文檔不那麼讓人焦慮，因為任何廠商不會因此而破產，但仍然令人擔憂；畢竟關於如何製造的資料是各家專有的且充滿競爭性。

被泄信息極易遭訪問

Vickery 是通過一個被暴露的備份伺服器發現 Level One 的數據遭泄露。他表示無需密碼或特殊訪問許可權即可訪問這些信息。只需聯網，任何人即可下載大小至少為157 G 且包含多家企業（包括克萊斯勒、福特、通用汽車、特斯拉、豐田和大眾）的出廠記錄和圖表的近4.7 萬份文件。

目前，Level One 公司的首席執行官拒絕討論被盜信息的具體詳情但表示數據遭除 Vickery 之外的人訪問。另外他並未就 Level One 是否已配備檢測越權訪問的工具。

通用汽車、豐田和大眾拒絕就數據披露做出任何評論。克萊斯特、福特和特斯拉並未就評論請求做出響應。

Level One 公司於2000年成立於安大略省溫莎市，6年後在底特律以外的地方開設了一個美國辦事處。從網站來看，公司為製造商提供專註於機器人和自動化的工程服務。

https://www.nytimes.com/2018/07/20/business/suppliers-data-leak-automakers.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！