<span id="fk5wx"><ins id="fk5wx"><video id="fk5wx"></video></ins></span>
    <menuitem id="fk5wx"><dl id="fk5wx"></dl></menuitem>
    <cite id="fk5wx"></cite>
    <thead id="fk5wx"><dl id="fk5wx"></dl></thead>
    <thead id="fk5wx"></thead>
    <span id="fk5wx"></span><menuitem id="fk5wx"><strike id="fk5wx"><thead id="fk5wx"></thead></strike></menuitem>
    <span id="fk5wx"><ins id="fk5wx"><dl id="fk5wx"></dl></ins></span> <thead id="fk5wx"><dl id="fk5wx"></dl></thead>
    <ins id="fk5wx"></ins>
    <listing id="fk5wx"><dl id="fk5wx"><listing id="fk5wx"></listing></dl></listing>
    <var id="fk5wx"><video id="fk5wx"></video></var>
    <menuitem id="fk5wx"><video id="fk5wx"><address id="fk5wx"></address></video></menuitem>
    <thead id="fk5wx"><strike id="fk5wx"><address id="fk5wx"></address></strike></thead> <noframes id="fk5wx"><del id="fk5wx"></del>
    <var id="fk5wx"><dl id="fk5wx"><progress id="fk5wx"></progress></dl></var><thead id="fk5wx"></thead>
    <menuitem id="fk5wx"><dl id="fk5wx"></dl></menuitem><ins id="fk5wx"></ins><cite id="fk5wx"><video id="fk5wx"><progress id="fk5wx"></progress></video></cite>
    <listing id="fk5wx"></listing>
    <ins id="fk5wx"><strike id="fk5wx"><thead id="fk5wx"></thead></strike></ins>
    <menuitem id="fk5wx"></menuitem>
    <cite id="fk5wx"></cite>
    <cite id="fk5wx"><span id="fk5wx"><listing id="fk5wx"></listing></span></cite>
    <ins id="fk5wx"></ins>
    <menuitem id="fk5wx"><dl id="fk5wx"></dl></menuitem>
    <var id="fk5wx"><dl id="fk5wx"></dl></var>
    <cite id="fk5wx"></cite><cite id="fk5wx"><span id="fk5wx"><listing id="fk5wx"></listing></span></cite>
    <var id="fk5wx"><span id="fk5wx"></span></var>
    <thead id="fk5wx"></thead><cite id="fk5wx"></cite>
    <thead id="fk5wx"></thead>
    <thead id="fk5wx"><dl id="fk5wx"></dl></thead><thead id="fk5wx"><dl id="fk5wx"></dl></thead>
    <noframes id="fk5wx"><ins id="fk5wx"></ins>
    <i id="fk5wx"><dl id="fk5wx"><listing id="fk5wx"></listing></dl></i>
    <cite id="fk5wx"></cite><thead id="fk5wx"></thead>
    <thead id="fk5wx"></thead><menuitem id="fk5wx"><dl id="fk5wx"><listing id="fk5wx"></listing></dl></menuitem>
    <cite id="fk5wx"><video id="fk5wx"></video></cite>
    <th id="fk5wx"><cite id="fk5wx"><strike id="fk5wx"></strike></cite></th>
    <cite id="fk5wx"></cite>

    1. 史上最嚴重數據車禍:100+車廠機密全曝光,通用豐田特斯拉中招

      • 安妮&雷剛
      • 發表于: 2018/07/23 07:25:00 來源:量子位

      涉及機密文件 47000 個,泄露的數據包括車廠的發展詳細藍圖的產品設計圖表、消費者發票合約信息等等。

      前所未有的數據車禍事件。

      不是1家2家,也不分傳統車廠和造車新勢力。

      100多家車廠,從通用汽車、菲亞特克萊斯勒、福特、豐田,大眾到特斯拉,現在機密數據統統被供應商的共同服務器曝光。

      而且細思極恐的是,沒人知道這個安全風險何時開始,也無法知道是否還有別人發現,更不知道數據是否已經外泄。

      近日,數據安全事件的當事主角叫Level One,一家2000年創辦于加拿大的汽車供應商,由于提供機器人和自動化方面的工程服務,在全球有100多家合作伙伴。然而,正是這樣一家“能力越大責任越大”的供應商,被網絡安全公司UpGuard的研究員Chris Vickery發現,數據后門大開,輕松訪問其合作伙伴的機密文件。

      從車廠發展藍圖規劃、工廠原理、制造細節,到客戶合同材料、工作計劃,再到各種保密協議文件……甚至員工的駕駛證和護照的掃描件等隱私信息,共計157千兆字節,包含近47,000個文件。

      數據之機密和豐富,令人背后發涼。

      事件詳情

      事情目前可最早追溯到本月1號。當時UpGuard安全團隊的研究員Chris Vickery首次“盯上”了這個數據庫。

      在UpGuard,Chris Vickery的核心工作就是檢查那些“無人看守”的緩存數據庫,并檢查是否存在無密碼訪問的可能。因此,也有人將他崗位稱為:互聯網數據庫的看門狗。

      但就在反復檢查過程中,Chris Vickery確認,泄露源正是供應商Level One,通過Level One的文件傳輸協議rsync,可以無障礙訪問上述所有隱私數據。

      于是7月9日,Chris Vickery聯系到Level One,10日,Level One采取斷網脫機的方式,暫時止住了數據庫裸露。

      罪魁禍首的rsync其實是一種廣泛使用的應用程序,經常用于大型數據傳輸和備份。但是,如果不采取適當的步驟限制rsync服務,數據可能就有泄露的風險。

      這一次,Level One錯在沒有限制使用者的IP地址,讓非指定客戶端也能連接,并且也沒有設置用戶訪問權限,比如客戶端在接收信息前進行身份驗證等。

      也就是說,在沒有這些措施保障的情況下,rsync是可以公開訪問的。

      而且這次數據暴露的規模之大,已經超乎了當事人和吃瓜群眾的想象。

      暴露的信息主要包括客戶數據、員工信息及與Level One協議數據三類。

      都很頭疼,都是定時炸彈。

      客戶數據包括與Level One合作的通用、福特、特斯拉等100多家大型制造商的裝配線和工廠原理圖,保密協議和機器人的配置、規格、演示動畫等。

      工廠布局和機器人產品的詳細CAD圖紙也包含在數據中。

      除了原理圖外,詳細說明的機器配置、規格和使用文檔,以及機器人在工作時的動畫也已暴露。

      Level One的客戶向其中一些客戶端發送的ID證章和VPN憑證也在rsync中公開。

      發現的波音公司的證章申請表。發現的波音公司的證章申請表。

      最具諷刺意味的是,數十份保密協議的全文也在曝光行列,客戶隱私條款、保密數據文件、以及保密性質協議,統統外露。

      特斯拉的保密協議特斯拉的保密協議

      驚不驚悚,意不意外?但暴露的事項不僅僅這些。

      第二類是客戶的員工數據,包括員工駕駛執照和護照掃描件、員工姓名和身份證號碼,還有照片等隱私數據。

      護照掃描件信息護照掃描件信息

      最后,還有Level One自己的數據。比一些合作的合同、發票、報價、工作范圍和客戶協議等,也在該數據庫中。

      發現的One Level的銀行文檔發現的One Level的銀行文檔

      也就是說,對于這100多家制造商來說,從內部人員到外部合作方數據,都已昭告天下——更悲劇的是,在漏洞曝光之前,是否有其他人士訪問過,目前還沒有結論。

      更別說這些數據一旦落入“別有用心”人士之手,將會造成怎樣的威脅。

      隱患警報

      對于車廠來說,工廠布局、自動化流程和機器人規格等重要競爭力,最終決定了公司的輸出潛力。

      這些機密信息一旦被外人知悉,可能會招來競爭對手的的抄襲和叵測居心人的惡意破壞。

      車廠競爭方面的底褲,也沒有秘密可言了。

      更令人不安的是,這些文件涉及到100多家制造商獲得數字和物理訪問的權限。

      而且,在漏洞發現時,rsync服務器上設置的權限表明,服務器竟然是可公開寫入的?!

      這意味著一些人可能已經更改了里面的文檔,比如可能直接替換存款指令中的銀行帳號或嵌入惡意軟件。

      這是一次嚴重的安全事故車禍現場,給這100多家制造商帶來的安全風險后患無窮。

      汽車制造,人命關天。

      如果別有用心的人士已經獲取了這些數據,然后用于汽車關鍵部件的漏洞攻擊,想想就令人不寒而栗。

      最后,因為還包含了不少個人相關的隱私數據,是否會被用來其他危險使用,都不得而知。

      并且通過相關信息撞庫,還可能造成連鎖數據泄露,威脅遠不止汽車數據本身。

      目前進展

      截至目前,Level One首席執行官米蘭-加斯科已經做出了回應,他說非常重視這一問題,并在進行全面調查,但還不能披露更多細節。

      而相關涉及的車廠,肯定也已經著急成熱鍋螞蟻了,但現在心中再痛,他們也只能選擇不予置評。

      另外,Level One CEO還表示,除了安全研究員Vickery之外,任何外部各方幾乎不可能找到該入口、看到這些數據,但他并沒有相關工具或手段來證明:都有誰訪問過該數據庫。

      然而這個解釋有些too young、too simple,sometimes naive。米蘭-加斯科以為只有Vickery這樣信息安全專家才會發現這漏洞。

      但Chris Vickery也說了,通過暴露的備份服務器就能輕松找到Level One的數據,并且不需要密碼或特殊訪問權限,任何連接的人都可以下載這些材料。

      對于這起數據車禍,只能說明Level One這樣的供應商真太大意了。

      而且此次無疑又給我們上了一課:第三方供應商和承包商可能造成的數據泄露風險,例子開始一個接一個。

      就在上個月,票務公司Ticketmaster也表示數千名客戶的付款信息被盜,源頭則是Inbenta公司在TicketMaster網站上運行客戶支持聊天機器人的軟件存在漏洞。

      另外別忘了,震驚全球的Facebook數據泄露事件,源頭也是在第三方公司“劍橋分析”。

      安全研究公司Ponemon去年調查的企業中,有56%表示他們遭遇了供應商相關的數據泄露事件。而且在越來越多第三方獲得公司訪問權的時候,數據泄露的風險就在增加。

      此外,越來越多的第三方公司還能獲得敏感信息,而且每年正在呈現24%的增長。

      加之越來越強大的AI算法,給越來越多此前“沒啥用”的數據插上了翅膀。

      新時代里的安全事件,每一次都可能炸出新高度。

      多方評價

      這場數據災難曝光后,外媒、Twitter等網友聚集地已經炸開了鍋。

      外媒《紐約時報》在報道的標題中用了“BIG RED FLAG”的描述,這指代危險信號,也經常用來隱喻成“讓人生氣的事情”。

      做了多年的老產品經理Mark Schettenhelm感慨,企業和個人應該多關注下供應商的狀況。如果他們不安去,則你也會遇到危險。

      也有網友表示出面對此事無力感:數據泄露是一件多么可能發生的容易事情。

      當然,也有網友認為導致的這場事故發生的One Level很是讓人氣憤,甚至有人在Reddit上評論說:“這家公司應該消失了。”

      相關標簽:
      智能汽車
      車聯網
      • 車云星
      • 空間站
      • 福特星球
      • 蟲洞

      加料 /

      人評論 | 人參與 登錄
      查看更多評論
      彩票11选5