史上最嚴重數據車禍:通用豐田特斯拉統統中招
前所未有的數據車禍事件。
不是 1 家 2 家,也不分傳統車廠和造車新勢力。
100 多家車廠,從通用汽車、菲亞特克萊斯勒、福特、豐田,大眾到特斯拉,現在機密數據統統被供應商的共同服務器曝光。
而且細思極恐的是,沒人知道這個安全風險何時開始,也無法知道是否還有別人發現,更不知道數據是否已經外泄。
今天,數據安全事件的當事主角叫 Level One,一家 2000 年創辦于加拿大的汽車供應商,由于提供機器人和自動化方面的工程服務,在全球有 100 多家合作伙伴。
然而,正是這樣一家“能力越大責任越大”的供應商,被網絡安全公司 UpGuard 的研究員 Chris Vickery 發現,數據后門大開,輕松訪問其合作伙伴的機密文件。
從車廠發展藍圖規劃、工廠原理、制造細節,到客戶合同材料、工作計劃,再到各種保密協議文件……甚至員工的駕駛證和護照的掃描件等隱私信息,共計 157 千兆字節,包含近 47,000 個文件。
數據之機密和豐富,令人背后發涼。
事件詳情
事情目前可最早追溯到本月 1 號。當時 UpGuard 安全團隊的研究員 Chris Vickery 首次“盯上”了這個數據庫。
在 UpGuard,Chris Vickery 的核心工作就是檢查那些“無人看守”的緩存數據庫,并檢查是否存在無密碼訪問的可能。因此,也有人將他崗位稱為:互聯網數據庫的看門狗。
但就在反復檢查過程中,Chris Vickery 確認,泄露源正是供應商 Level One,通過 Level One 的文件傳輸協議 rsync,可以無障礙訪問上述所有隱私數據。
于是 7 月 9 日,Chris Vickery 聯系到 Level One,10 日,Level One 采取斷網脫機的方式,暫時止住了數據庫裸露。
罪魁禍首的 rsync 其實是一種廣泛使用的應用程序,經常用于大型數據傳輸和備份。但是,如果不采取適當的步驟限制 rsync 服務,數據可能就有泄露的風險。
這一次,Level One 錯在沒有限制使用者的 IP 地址,讓非指定客戶端也能連接,并且也沒有設置用戶訪問權限,比如客戶端在接收信息前進行身份驗證等。
也就是說,在沒有這些措施保障的情況下,rsync 是可以公開訪問的。
而且這次數據暴露的規模之大,已經超乎了當事人和吃瓜群眾的想象。
暴露的信息主要包括客戶數據、員工信息及與 Level One 協議數據三類。
都很頭疼,都是定時炸彈。
客戶數據包括與 Level One 合作的通用、福特、特斯拉等 100 多家大型制造商的裝配線和工廠原理圖,保密協議和機器人的配置、規格、演示動畫等。
工廠布局和機器人產品的詳細 CAD 圖紙也包含在數據中。
除了原理圖外,詳細說明的機器配置、規格和使用文檔,以及機器人在工作時的動畫也已暴露。
Level One 的客戶向其中一些客戶端發送的 ID 證章和 VPN 憑證也在 rsync 中公開。
發現的波音公司的證章申請表
最具諷刺意味的是,數十份保密協議的全文也在曝光行列,客戶隱私條款、保密數據文件、以及保密性質協議,統統外露。
特斯拉的保密協議
驚不驚悚,意不意外?但暴露的事項不僅僅這些。
第二類是客戶的員工數據,包括員工駕駛執照和護照掃描件、員工姓名和身份證號碼,還有照片等隱私數據。
護照掃描件信息
最后,還有 Level One 自己的數據。比一些合作的合同、發票、報價、工作范圍和客戶協議等,也在該數據庫中。
發現的 One Level 的銀行文檔
也就是說,對于這 100 多家制造商來說,從內部人員到外部合作方數據,都已昭告天下——更悲劇的是,在漏洞曝光之前,是否有其他人士訪問過,目前還沒有結論。
更別說這些數據一旦落入“別有用心”人士之手,將會造成怎樣的威脅。
隱患警報
對于車廠來說,工廠布局、自動化流程和機器人規格等重要競爭力,最終決定了公司的輸出潛力。
這些機密信息一旦被外人知悉,可能會招來競爭對手的的抄襲和叵測居心人的惡意破壞。
車廠競爭方面的底褲,也沒有秘密可言了。
更令人不安的是,這些文件涉及到 100 多家制造商獲得數字和物理訪問的權限。
而且,在漏洞發現時,rsync 服務器上設置的權限表明,服務器竟然是可公開寫入的?!
這意味著一些人可能已經更改了里面的文檔,比如可能直接替換存款指令中的銀行帳號或嵌入惡意軟件。
這是一次嚴重的安全事故車禍現場,給這 100 多家制造商帶來的安全風險后患無窮。
汽車制造,人命關天。
如果別有用心的人士已經獲取了這些數據,然后用于汽車關鍵部件的漏洞攻擊,想想就令人不寒而栗。
最后,因為還包含了不少個人相關的隱私數據,是否會被用來其他危險使用,都不得而知。
并且通過相關信息撞庫,還可能造成連鎖數據泄露,威脅遠不止汽車數據本身。
目前進展
截至目前,Level One 首席執行官米蘭-加斯科已經做出了回應,他說非常重視這一問題,并在進行全面調查,但還不能披露更多細節。
而相關涉及的車廠,肯定也已經著急成熱鍋螞蟻了,但現在心中再痛,他們也只能選擇不予置評。
另外,Level One CEO 還表示,除了安全研究員 Vickery 之外,任何外部各方幾乎不可能找到該入口、看到這些數據,但他并沒有相關工具或手段來證明:都有誰訪問過該數據庫。
然而這個解釋有些 too young、too simple,sometimes naive。米蘭-加斯科以為只有 Vickery 這樣信息安全專家才會發現這漏洞。
但 Chris Vickery 也說了,通過暴露的備份服務器就能輕松找到 Level One 的數據,并且不需要密碼或特殊訪問權限,任何連接的人都可以下載這些材料。
對于這起數據車禍,只能說明 Level One 這樣的供應商真太大意了。
而且此次無疑又給我們上了一課:第三方供應商和承包商可能造成的數據泄露風險,例子開始一個接一個。
就在上個月,票務公司 Ticketmaster 也表示數千名客戶的付款信息被盜,源頭則是 Inbenta 公司在 TicketMaster 網站上運行客戶支持聊天機器人的軟件存在漏洞。
另外別忘了,震驚全球的 Facebook 數據泄露事件,源頭也是在第三方公司“劍橋分析”。
安全研究公司 Ponemon 去年調查的企業中,有 56% 表示他們遭遇了供應商相關的數據泄露事件。而且在越來越多第三方獲得公司訪問權的時候,數據泄露的風險就在增加。
此外,越來越多的第三方公司還能獲得敏感信息,而且每年正在呈現 24% 的增長。
加之越來越強大的 AI 算法,給越來越多此前“沒啥用”的數據插上了翅膀。
新時代里的安全事件,每一次都可能炸出新高度。
多方評價
這場數據災難曝光后,外媒、Twitter 等網友聚集地已經炸開了鍋。
外媒《紐約時報》在報道的標題中用了“BIG RED FLAG”的描述,這指代危險信號,也經常用來隱喻成“讓人生氣的事情”。
做了多年的老產品經理 Mark Schettenhelm 感慨,企業和個人應該多關注下供應商的狀況。如果他們不安去,則你也會遇到危險。
也有網友表示出面對此事無力感:數據泄露是一件多么可能發生的容易事情。
當然,也有網友認為導致的這場事故發生的 One Level 很是讓人氣憤,甚至有人在 Reddit 上評論說:“這家公司應該消失了。”
