信息化觀察網(wǎng)

前所未有的數(shù)據(jù)車禍事件。

不是1家2家，也不分傳統(tǒng)車廠和造車新勢力。

100多家車廠，從通用汽車、菲亞特克萊斯勒、福特、豐田，大眾到特斯拉，現(xiàn)在機密數(shù)據(jù)統(tǒng)統(tǒng)被供應(yīng)商的共同服務(wù)器曝光。

而且細思極恐的是，沒人知道這個安全風險何時開始，也無法知道是否還有別人發(fā)現(xiàn)，更不知道數(shù)據(jù)是否已經(jīng)外泄。

今天，數(shù)據(jù)安全事件的當事主角叫Level One，一家2000年創(chuàng)辦于加拿大的汽車供應(yīng)商，由于提供機器人和自動化方面的工程服務(wù)，在全球有100多家合作伙伴。

然而，正是這樣一家“能力越大責任越大”的供應(yīng)商，被網(wǎng)絡(luò)安全公司UpGuard的研究員Chris Vickery發(fā)現(xiàn)，數(shù)據(jù)后門大開，輕松訪問其合作伙伴的機密文件。

從車廠發(fā)展藍圖規(guī)劃、工廠原理、制造細節(jié)，到客戶合同材料、工作計劃，再到各種保密協(xié)議文件……甚至員工的駕駛證和護照的掃描件等隱私信息，共計157千兆字節(jié)，包含近47,000個文件。

數(shù)據(jù)之機密和豐富，令人背后發(fā)涼。

事件詳情

事情目前可最早追溯到本月1號。當時UpGuard安全團隊的研究員Chris Vickery首次“盯上”了這個數(shù)據(jù)庫。

在UpGuard，Chris Vickery的核心工作就是檢查那些“無人看守”的緩存數(shù)據(jù)庫，并檢查是否存在無密碼訪問的可能。因此，也有人將他崗位稱為：互聯(lián)網(wǎng)數(shù)據(jù)庫的看門狗。

但就在反復(fù)檢查過程中，Chris Vickery確認，泄露源正是供應(yīng)商Level One，通過Level One的文件傳輸協(xié)議rsync，可以無障礙訪問上述所有隱私數(shù)據(jù)。

于是7月9日，Chris Vickery聯(lián)系到Level One，10日，Level One采取斷網(wǎng)脫機的方式，暫時止住了數(shù)據(jù)庫裸露。

罪魁禍首的rsync其實是一種廣泛使用的應(yīng)用程序，經(jīng)常用于大型數(shù)據(jù)傳輸和備份。但是，如果不采取適當?shù)牟襟E限制rsync服務(wù)，數(shù)據(jù)可能就有泄露的風險。

這一次，Level One錯在沒有限制使用者的IP地址，讓非指定客戶端也能連接，并且也沒有設(shè)置用戶訪問權(quán)限，比如客戶端在接收信息前進行身份驗證等。

也就是說，在沒有這些措施保障的情況下，rsync是可以公開訪問的。

而且這次數(shù)據(jù)暴露的規(guī)模之大，已經(jīng)超乎了當事人和吃瓜群眾的想象。

暴露的信息主要包括客戶數(shù)據(jù)、員工信息及與Level One協(xié)議數(shù)據(jù)三類。

都很頭疼，都是定時炸彈。

客戶數(shù)據(jù)包括與Level One合作的通用、福特、特斯拉等100多家大型制造商的裝配線和工廠原理圖，保密協(xié)議和機器人的配置、規(guī)格、演示動畫等。

工廠布局和機器人產(chǎn)品的詳細CAD圖紙也包含在數(shù)據(jù)中。

除了原理圖外，詳細說明的機器配置、規(guī)格和使用文檔，以及機器人在工作時的動畫也已暴露。

Level One的客戶向其中一些客戶端發(fā)送的ID證章和VPN憑證也在rsync中公開。

△ 發(fā)現(xiàn)的波音公司的證章申請表

最具諷刺意味的是，數(shù)十份保密協(xié)議的全文也在曝光行列，客戶隱私條款、保密數(shù)據(jù)文件、以及保密性質(zhì)協(xié)議，統(tǒng)統(tǒng)外露。

△ 特斯拉的保密協(xié)議

驚不驚悚，意不意外？但暴露的事項不僅僅這些。

第二類是客戶的員工數(shù)據(jù)，包括員工駕駛執(zhí)照和護照掃描件、員工姓名和身份證號碼，還有照片等隱私數(shù)據(jù)。

△ 護照掃描件信息

最后，還有Level One自己的數(shù)據(jù)。比一些合作的合同、發(fā)票、報價、工作范圍和客戶協(xié)議等，也在該數(shù)據(jù)庫中。

△ 發(fā)現(xiàn)的One Level的銀行文檔

也就是說，對于這100多家制造商來說，從內(nèi)部人員到外部合作方數(shù)據(jù)，都已昭告天下——更悲劇的是，在漏洞曝光之前，是否有其他人士訪問過，目前還沒有結(jié)論。

更別說這些數(shù)據(jù)一旦落入“別有用心”人士之手，將會造成怎樣的威脅。

隱患警報

對于車廠來說，工廠布局、自動化流程和機器人規(guī)格等重要競爭力，最終決定了公司的輸出潛力。

這些機密信息一旦被外人知悉，可能會招來競爭對手的的抄襲和叵測居心人的惡意破壞。

車廠競爭方面的底褲，也沒有秘密可言了。

更令人不安的是，這些文件涉及到100多家制造商獲得數(shù)字和物理訪問的權(quán)限。

而且，在漏洞發(fā)現(xiàn)時，rsync服務(wù)器上設(shè)置的權(quán)限表明，服務(wù)器竟然是可公開寫入的？！

這意味著一些人可能已經(jīng)更改了里面的文檔，比如可能直接替換存款指令中的銀行帳號或嵌入惡意軟件。

這是一次嚴重的安全事故車禍現(xiàn)場，給這100多家制造商帶來的安全風險后患無窮。

汽車制造，人命關(guān)天。

如果別有用心的人士已經(jīng)獲取了這些數(shù)據(jù)，然后用于汽車關(guān)鍵部件的漏洞攻擊，想想就令人不寒而栗。

最后，因為還包含了不少個人相關(guān)的隱私數(shù)據(jù)，是否會被用來其他危險使用，都不得而知。

并且通過相關(guān)信息撞庫，還可能造成連鎖數(shù)據(jù)泄露，威脅遠不止汽車數(shù)據(jù)本身。

目前進展

截至目前，Level One首席執(zhí)行官米蘭-加斯科已經(jīng)做出了回應(yīng)，他說非常重視這一問題，并在進行全面調(diào)查，但還不能披露更多細節(jié)。

而相關(guān)涉及的車廠，肯定也已經(jīng)著急成熱鍋螞蟻了，但現(xiàn)在心中再痛，他們也只能選擇不予置評。

另外，Level One CEO還表示，除了安全研究員Vickery之外，任何外部各方幾乎不可能找到該入口、看到這些數(shù)據(jù)，但他并沒有相關(guān)工具或手段來證明：都有誰訪問過該數(shù)據(jù)庫。

然而這個解釋有些too young、too simple，sometimes naive。米蘭-加斯科以為只有Vickery這樣信息安全專家才會發(fā)現(xiàn)這漏洞。

但Chris Vickery也說了，通過暴露的備份服務(wù)器就能輕松找到Level One的數(shù)據(jù)，并且不需要密碼或特殊訪問權(quán)限，任何連接的人都可以下載這些材料。

對于這起數(shù)據(jù)車禍，只能說明Level One這樣的供應(yīng)商真太大意了。

而且此次無疑又給我們上了一課：第三方供應(yīng)商和承包商可能造成的數(shù)據(jù)泄露風險，例子開始一個接一個。

就在上個月，票務(wù)公司Ticketmaster也表示數(shù)千名客戶的付款信息被盜，源頭則是Inbenta公司在TicketMaster網(wǎng)站上運行客戶支持聊天機器人的軟件存在漏洞。

另外別忘了，震驚全球的Facebook數(shù)據(jù)泄露事件，源頭也是在第三方公司“劍橋分析”。

安全研究公司Ponemon去年調(diào)查的企業(yè)中，有56％表示他們遭遇了供應(yīng)商相關(guān)的數(shù)據(jù)泄露事件。而且在越來越多第三方獲得公司訪問權(quán)的時候，數(shù)據(jù)泄露的風險就在增加。

此外，越來越多的第三方公司還能獲得敏感信息，而且每年正在呈現(xiàn)24%的增長。

加之越來越強大的AI算法，給越來越多此前“沒啥用”的數(shù)據(jù)插上了翅膀。

新時代里的安全事件，每一次都可能炸出新高度。

多方評價

這場數(shù)據(jù)災(zāi)難曝光后，外媒、Twitter等網(wǎng)友聚集地已經(jīng)炸開了鍋。

外媒《紐約時報》在報道的標題中用了“BIG RED FLAG”的描述，這指代危險信號，也經(jīng)常用來隱喻成“讓人生氣的事情”。

做了多年的老產(chǎn)品經(jīng)理Mark Schettenhelm感慨，企業(yè)和個人應(yīng)該多關(guān)注下供應(yīng)商的狀況。如果他們不安去，則你也會遇到危險。

也有網(wǎng)友表示出面對此事無力感：數(shù)據(jù)泄露是一件多么可能發(fā)生的容易事情。

當然，也有網(wǎng)友認為導(dǎo)致的這場事故發(fā)生的One Level很是讓人氣憤，甚至有人在Reddit上評論說：“這家公司應(yīng)該消失了。”