100+車廠機密全曝光，通用豐田特斯拉統統中招

前所未有的車禍數據。它不是一兩個，也不是分為傳統的汽車工廠和新的造車力量。從通用汽車、菲亞特克萊斯勒、福特、豐田、大眾到特斯拉等100多家汽車制造商，現在所有機密數據都被供應商的公共服務器暴露。此外，想到沒有人知道這種安全風險何時開始，也不可能知道是否有其他人發現了它，甚至不可能知道數據是否被泄露，這是非常可怕的。

今天，數據安全事件的主角是Level One，一家2000年在加拿大成立的汽車供應商。由于它提供機器人和自動化方面的工程服務，它在世界各地有100多個合作伙伴。然而，正是這樣一個“能力越大，責任越大”的供應商，被網絡安全公司UpGuard的研究員Chris Vickery發現，數據后門大開，很容易訪問其合作伙伴的機密文件。從車庫開發的藍圖規劃、工廠原理、制造細節，到客戶的合同材料、工作計劃、各種保密協議文件，甚至員工的駕照和護照掃描件，總數量為157G，其中包括近47000份文件。數據的保密性和豐富性讓人們在背后感到寒冷。事件的細節最早可以追溯到本月1日。當時，UpGuard安全團隊的研究員Chris Vickery首先“盯上”了這個數據庫。在UpGuard中，Chris Vickery的核心工作是檢查那些“無人值守”的緩存數據庫，并檢查是否存在免密碼訪問的可能性。因此，有人把他的職位稱為：互聯網數據庫的監督者。

然而，在反復檢查的過程中，Chris Vickery確認泄漏源是供應商Level One，并且可以通過Level One的文件傳輸協議rsync無障礙地訪問上述所有私人數據。因此，7月9日，Chris Vickery聯系了Level One，10日，Level One采取離線模式暫時停止數據庫曝光。Rsync，罪魁禍首，實際上是一個廣泛使用的應用程序，經常用于大規模的數據傳輸和備份。然而，如果沒有采取適當的措施來限制rsync服務，數據可能會被暴露。這一次，Level One的錯誤在于，它沒有限制用戶的IP地址，以便非指定的客戶端可以連接，并且它沒有設置用戶訪問權限，例如，客戶端在接收信息之前進行身份驗證。換句話說，rsync可以在沒有這些措施的情況下被公開訪問。而且，這次數據曝光的規模已經超出了當事人和吃瓜群眾的想象。暴露的信息主要包括客戶數據、員工信息和一級協議數據。他們都很頭疼。它們都是定時炸彈。客戶數據包括通用汽車、福特和特斯拉等100多家大型制造商的裝配線和工廠示意圖，這些制造商與Level One、保密協議、機器人配置、規格和演示動畫合作。

數據中還包括工廠布局和機器人產品的詳細CAD圖紙。

除了原理圖，詳細的機器配置、規格和使用文件，以及機器人在工作中的動畫也被曝光。

一級客戶發送給其中一些客戶的身份證和VPN代金券也在rsync中公開。

發現了波音公司徽章的申請表。最諷刺的是，數十份保密協議的全文也被曝光，客戶隱私條款、保密數據文件和保密協議都被曝光。

特斯拉的保密協議是令人震驚還是出乎意料？但暴露出來的問題不僅僅是這些。第二類是客戶的員工數據……

包括掃描的員工駕照和護照、員工姓名和身份證號碼，以及照片和其他私人數據。

護照掃描信息最后，還有Level One自己的數據。一些合作合同、發票、報價、工作范圍和客戶協議也在數據庫中。

One Level的銀行文件發現，也就是說，對于這100多家制造商來說，從內部人員到外部合作伙伴的數據被公開得更為悲慘，是否有其他人在漏洞暴露之前訪問過，目前還沒有結論。更不用說這些數據一旦落入別有用心的人手中，會造成什么樣的威脅。隱患警告對于汽車制造商來說，工廠布局、自動化工藝和機器人規格等重要競爭力最終決定了公司的產出潛力。這些機密信息一旦被外人知道，可能會導致競爭對手的抄襲和別有用心的惡意破壞。內衣在汽車工廠的競爭中已經不是什么秘密了。更令人不安的是，這些文件涉及100多家制造商對數字和物理訪問的訪問。此外，當發現該漏洞時，rsync服務器上設置的權限顯示該服務器實際上是可公開寫入的！

這意味著一些人可能更改了里面的文件，例如直接替換存款指令中的銀行賬號或嵌入惡意軟件。這是一起嚴重的安全事故現場，給100多家制造商帶來了無盡的安全風險。汽車制造是一件關乎生命的事情。如果別有用心的人獲得了這些數據，然后將其用于汽車關鍵部件的漏洞攻擊，想想就令人不寒而栗。最后，由于其中還包含大量個人隱私數據，因此它是否會被用于其他危險用途尚不得而知。并且通過相關信息碰撞到數據庫中，也可能造成連鎖數據泄露，威脅遠不止汽車數據本身。到目前為止，Level One首席執行官Milan Gasco已經做出回應，表示他非常重視這個問題，正在進行全面調查，但他無法透露更多細節。相關的汽車工廠一定很想成為你褲子里的螞蟻，但現在他們只能選擇不予置評。此外，Level One的首席執行官還表示，除了安全研究員Vickery之外，任何外部方幾乎不可能找到門戶網站并看到數據，但他沒有相關的工具或手段來證明誰訪問了數據庫。

0

然而，這種解釋過于年輕、過于簡單，有時甚至過于天真。Milan Gasco認為只有像Vickery這樣的信息安全專家才能發現這個漏洞。但Chris Vickery也表示，Level One的數據可以通過公開的備份服務器輕松找到，不需要密碼或特殊訪問權限，任何連接的人都可以下載這些材料。對于這次數據車禍，只能說明像Level One這樣的供應商真的很粗心。這一次無疑給我們上了另一個教訓：第三方供應商和承包商可能導致的數據泄露風險，例子層出不窮。就在上個月，票務公司TicketMaster還表示，數千名客戶的支付信息被盜，消息來源是Inbenta在TicketMaster網站上運行客戶支持聊天機器人的軟件存在漏洞。此外，別忘了，震驚世界的臉書數據泄露事件的源頭也在第三方公司“劍橋分析”。

1

在安全研究公司Ponemon去年調查的企業中，56%的企業表示他們遭受了與供應商相關的數據泄露。此外，當越來越多的第三方訪問該公司時，數據泄露的風險也在增加。此外，越來越多的第三方公司可以訪問敏感信息，每年以24%的速度增長。再加上越來越強大的人工智能算法，越來越多以前“無用”的數據被插入。新時代的安全事件每一次都可能爆發到新的高度。在多次評論這場數據災難的曝光后，外媒、推特等網友聚集地炸開了鍋。外媒《紐約時報》在報道標題中使用了“大紅旗”的描述，指的是危險信號，經常被用來比喻“讓人憤怒的事情”。Mark Schettenhem是一位多年的老產品經理，他認為企業和個人應該更多地關注供應商的情況。如果他們不愿意去，你也會有危險。一些網友也表達了他們對此事的無力：數據泄露是多么容易。當然，一些網友認為造成這起事故的《一級方程式》非常令人惱火。一些人甚至在Reddit上評論道：“這家公司應該消失。”前所未有的車禍數據。它不是一兩個，也不是分為傳統的汽車工廠和新的造車力量。從通用汽車、菲亞特克萊斯勒、福特、豐田、大眾到特斯拉等100多家汽車制造商，現在所有機密數據都被供應商的公共服務器暴露。此外，想到沒有人知道這種安全風險何時開始，也不可能知道是否有其他人發現了它，甚至不可能知道數據是否被泄露，這是非常可怕的。

今天，數據安全事件的主角是Level One，一家2000年在加拿大成立的汽車供應商。由于它提供機器人和自動化方面的工程服務，它在世界各地有100多個合作伙伴。H……

網絡安全公司UpGuard的研究員Chris Vickery發現，正是這樣一個“能力越大，責任越大”的供應商，數據后門敞開，很容易訪問其合作伙伴的機密文件。從車庫開發的藍圖規劃、工廠原理、制造細節，到客戶的合同材料、工作計劃、各種保密協議文件，甚至員工的駕照和護照掃描件，總數量為157G，其中包括近47000份文件。數據的保密性和豐富性讓人們在背后感到寒冷。事件的細節最早可以追溯到本月1日。當時，UpGuard安全團隊的研究員Chris Vickery首先“盯上”了這個數據庫。在UpGuard中，Chris Vickery的核心工作是檢查那些“無人值守”的緩存數據庫，并檢查是否存在免密碼訪問的可能性。因此，有人把他的職位稱為：互聯網數據庫的監督者。

然而，在反復檢查的過程中，Chris Vickery確認泄漏源是供應商Level One，并且可以通過Level One的文件傳輸協議rsync無障礙地訪問上述所有私人數據。因此，7月9日，Chris Vickery聯系了Level One，10日，Level One采取離線模式暫時停止數據庫曝光。Rsync，罪魁禍首，實際上是一個廣泛使用的應用程序，經常用于大規模的數據傳輸和備份。然而，如果沒有采取適當的措施來限制rsync服務，數據可能會被暴露。這一次，Level One的錯誤在于，它沒有限制用戶的IP地址，以便非指定的客戶端可以連接，并且它沒有設置用戶訪問權限，例如，客戶端在接收信息之前進行身份驗證。換句話說，rsync可以在沒有這些措施的情況下被公開訪問。而且，這次數據曝光的規模已經超出了當事人和吃瓜群眾的想象。暴露的信息主要包括客戶數據、員工信息和一級協議數據。他們都很頭疼。它們都是定時炸彈。客戶數據包括通用汽車、福特和特斯拉等100多家大型制造商的裝配線和工廠示意圖，這些制造商與Level One、保密協議、機器人配置、規格和演示動畫合作。

數據中還包括工廠布局和機器人產品的詳細CAD圖紙。

除了原理圖，詳細的機器配置、規格和使用文件，以及機器人在工作中的動畫也被曝光。

一級客戶發送給其中一些客戶的身份證和VPN代金券也在rsync中公開。

發現了波音公司徽章的申請表。最諷刺的是，數十份保密協議的全文也被曝光，客戶隱私條款、保密數據文件和保密協議都被曝光。

特斯拉的保密協議是令人震驚還是出乎意料？但暴露出來的問題不僅僅是這些。第二類是客戶的員工數據，包括掃描的員工駕照和護照、員工姓名和身份證號碼，以及照片和其他私人數據。

護照掃描信息最后，還有Level One自己的數據。一些合作合同、發票、報價、工作范圍和客戶協議也在數據庫中。

One Level的銀行文件發現，也就是說，對于這100多家制造商來說，從內部人員到外部合作伙伴的數據被公開得更加悲慘，無論其他公司……

le在漏洞暴露之前訪問過，目前還沒有結論。更不用說這些數據一旦落入別有用心的人手中，會造成什么樣的威脅。隱患警告對于汽車制造商來說，工廠布局、自動化工藝和機器人規格等重要競爭力最終決定了公司的產出潛力。這些機密信息一旦被外人知道，可能會導致競爭對手的抄襲和別有用心的惡意破壞。內衣在汽車工廠的競爭中已經不是什么秘密了。更令人不安的是，這些文件涉及100多家制造商對數字和物理訪問的訪問。此外，當發現該漏洞時，rsync服務器上設置的權限顯示該服務器實際上是可公開寫入的！這意味著一些人可能更改了里面的文件，例如直接替換存款指令中的銀行賬號或嵌入惡意軟件。這是一起嚴重的安全事故現場，給100多家制造商帶來了無盡的安全風險。汽車制造是一件關乎生命的事情。如果別有用心的人獲得了這些數據，然后將其用于汽車關鍵部件的漏洞攻擊，想想就令人不寒而栗。最后，由于其中還包含大量個人隱私數據，因此它是否會被用于其他危險用途尚不得而知。并且通過相關信息碰撞到數據庫中，也可能造成連鎖數據泄露，威脅遠不止汽車數據本身。到目前為止，Level One首席執行官Milan Gasco已經做出回應，表示他非常重視這個問題，正在進行全面調查，但他無法透露更多細節。相關的汽車工廠一定很想成為你褲子里的螞蟻，但現在他們只能選擇不予置評。此外，Level One的首席執行官還表示，除了安全研究員Vickery之外，任何外部方幾乎不可能找到門戶網站并看到數據，但他沒有相關的工具或手段來證明誰訪問了數據庫。

0

然而，這種解釋過于年輕、過于簡單，有時甚至過于天真。Milan Gasco認為只有像Vickery這樣的信息安全專家才能發現這個漏洞。但Chris Vickery也表示，Level One的數據可以通過公開的備份服務器輕松找到，不需要密碼或特殊訪問權限，任何連接的人都可以下載這些材料。對于這次數據車禍，只能說明像Level One這樣的供應商真的很粗心。這一次無疑給我們上了另一個教訓：第三方供應商和承包商可能導致的數據泄露風險，例子層出不窮。就在上個月，票務公司TicketMaster還表示，數千名客戶的支付信息被盜，消息來源是Inbenta在TicketMaster網站上運行客戶支持聊天機器人的軟件存在漏洞。此外，別忘了，震驚世界的臉書數據泄露事件的源頭也在第三方公司“劍橋分析”。

1

在安全研究公司Ponemon去年調查的企業中，56%的企業表示他們遭受了與供應商相關的數據泄露。此外，當越來越多的第三方訪問該公司時，數據泄露的風險也在增加。此外，越來越多的第三方公司可以訪問敏感信息，每年以24%的速度增長。再加上越來越強大的人工智能算法，越來越多以前“無用”的數據被插入。新時代的安全事件每一次都可能爆發到新的高度。在多次評論這場數據災難的曝光后，外媒、推特等網友聚集地炸開了鍋。外媒《紐約時報》在報道標題中使用了“大紅旗”的描述，指的是危險信號，經常被用來比喻“讓人憤怒的事情”。Mark Schettenhem是一位多年的老產品經理，他認為企業和個人應該更多地關注供應商的情況。如果他們不愿意去，你也會有危險。一些網友也表達了他們對此事的無力：數據泄露是多么容易。當然，一些網友認為造成這起事故的《一級方程式》非常令人惱火。一些人甚至在Reddit上評論道：“這家公司應該消失。”

標簽：發現特斯拉福特大眾豐田

汽車資訊熱門資訊