100+车厂机密全曝光，通用丰田特斯拉统统中招

前所未有的车祸数据。它不是一两个，也不是分为传统的汽车工厂和新的造车力量。从通用汽车、菲亚特克莱斯勒、福特、丰田、大众到特斯拉等100多家汽车制造商，现在所有机密数据都被供应商的公共服务器暴露。此外，想到没有人知道这种安全风险何时开始，也不可能知道是否有其他人发现了它，甚至不可能知道数据是否被泄露，这是非常可怕的。

今天，数据安全事件的主角是Level One，一家2000年在加拿大成立的汽车供应商。由于它提供机器人和自动化方面的工程服务，它在世界各地有100多个合作伙伴。然而，正是这样一个“能力越大，责任越大”的供应商，被网络安全公司UpGuard的研究员Chris Vickery发现，数据后门大开，很容易访问其合作伙伴的机密文件。从车库开发的蓝图规划、工厂原理、制造细节，到客户的合同材料、工作计划、各种保密协议文件，甚至员工的驾照和护照扫描件，总数量为157G，其中包括近47000份文件。数据的保密性和丰富性让人们在背后感到寒冷。事件的细节最早可以追溯到本月1日。当时，UpGuard安全团队的研究员Chris Vickery首先“盯上”了这个数据库。在UpGuard中，Chris Vickery的核心工作是检查那些“无人值守”的缓存数据库，并检查是否存在免密码访问的可能性。因此，有人把他的职位称为：互联网数据库的监督者。

然而，在反复检查的过程中，Chris Vickery确认泄漏源是供应商Level One，并且可以通过Level One的文件传输协议rsync无障碍地访问上述所有私人数据。因此，7月9日，Chris Vickery联系了Level One，10日，Level One采取离线模式暂时停止数据库曝光。Rsync，罪魁祸首，实际上是一个广泛使用的应用程序，经常用于大规模的数据传输和备份。然而，如果没有采取适当的措施来限制rsync服务，数据可能会被暴露。这一次，Level One的错误在于，它没有限制用户的IP地址，以便非指定的客户端可以连接，并且它没有设置用户访问权限，例如，客户端在接收信息之前进行身份验证。换句话说，rsync可以在没有这些措施的情况下被公开访问。而且，这次数据曝光的规模已经超出了当事人和吃瓜群众的想象。暴露的信息主要包括客户数据、员工信息和一级协议数据。他们都很头疼。它们都是定时炸弹。客户数据包括通用汽车、福特和特斯拉等100多家大型制造商的装配线和工厂示意图，这些制造商与Level One、保密协议、机器人配置、规格和演示动画合作。

数据中还包括工厂布局和机器人产品的详细CAD图纸。

除了原理图，详细的机器配置、规格和使用文件，以及机器人在工作中的动画也被曝光。

一级客户发送给其中一些客户的身份证和VPN代金券也在rsync中公开。

发现了波音公司徽章的申请表。最讽刺的是，数十份保密协议的全文也被曝光，客户隐私条款、保密数据文件和保密协议都被曝光。

特斯拉的保密协议是令人震惊还是出乎意料？但暴露出来的问题不仅仅是这些。第二类是客户的员工数据……

包括扫描的员工驾照和护照、员工姓名和身份证号码，以及照片和其他私人数据。

护照扫描信息最后，还有Level One自己的数据。一些合作合同、发票、报价、工作范围和客户协议也在数据库中。

One Level的银行文件发现，也就是说，对于这100多家制造商来说，从内部人员到外部合作伙伴的数据被公开得更为悲惨，是否有其他人在漏洞暴露之前访问过，目前还没有结论。更不用说这些数据一旦落入别有用心的人手中，会造成什么样的威胁。隐患警告对于汽车制造商来说，工厂布局、自动化工艺和机器人规格等重要竞争力最终决定了公司的产出潜力。这些机密信息一旦被外人知道，可能会导致竞争对手的抄袭和别有用心的恶意破坏。内衣在汽车工厂的竞争中已经不是什么秘密了。更令人不安的是，这些文件涉及100多家制造商对数字和物理访问的访问。此外，当发现该漏洞时，rsync服务器上设置的权限显示该服务器实际上是可公开写入的！

这意味着一些人可能更改了里面的文件，例如直接替换存款指令中的银行账号或嵌入恶意软件。这是一起严重的安全事故现场，给100多家制造商带来了无尽的安全风险。汽车制造是一件关乎生命的事情。如果别有用心的人获得了这些数据，然后将其用于汽车关键部件的漏洞攻击，想想就令人不寒而栗。最后，由于其中还包含大量个人隐私数据，因此它是否会被用于其他危险用途尚不得而知。并且通过相关信息碰撞到数据库中，也可能造成连锁数据泄露，威胁远不止汽车数据本身。到目前为止，Level One首席执行官Milan Gasco已经做出回应，表示他非常重视这个问题，正在进行全面调查，但他无法透露更多细节。相关的汽车工厂一定很想成为你裤子里的蚂蚁，但现在他们只能选择不予置评。此外，Level One的首席执行官还表示，除了安全研究员Vickery之外，任何外部方几乎不可能找到门户网站并看到数据，但他没有相关的工具或手段来证明谁访问了数据库。

0

然而，这种解释过于年轻、过于简单，有时甚至过于天真。Milan Gasco认为只有像Vickery这样的信息安全专家才能发现这个漏洞。但Chris Vickery也表示，Level One的数据可以通过公开的备份服务器轻松找到，不需要密码或特殊访问权限，任何连接的人都可以下载这些材料。对于这次数据车祸，只能说明像Level One这样的供应商真的很粗心。这一次无疑给我们上了另一个教训：第三方供应商和承包商可能导致的数据泄露风险，例子层出不穷。就在上个月，票务公司TicketMaster还表示，数千名客户的支付信息被盗，消息来源是Inbenta在TicketMaster网站上运行客户支持聊天机器人的软件存在漏洞。此外，别忘了，震惊世界的脸书数据泄露事件的源头也在第三方公司“剑桥分析”。

1

在安全研究公司Ponemon去年调查的企业中，56%的企业表示他们遭受了与供应商相关的数据泄露。此外，当越来越多的第三方访问该公司时，数据泄露的风险也在增加。此外，越来越多的第三方公司可以访问敏感信息，每年以24%的速度增长。再加上越来越强大的人工智能算法，越来越多以前“无用”的数据被插入。新时代的安全事件每一次都可能爆发到新的高度。在多次评论这场数据灾难的曝光后，外媒、推特等网友聚集地炸开了锅。外媒《纽约时报》在报道标题中使用了“大红旗”的描述，指的是危险信号，经常被用来比喻“让人愤怒的事情”。Mark Schettenhem是一位多年的老产品经理，他认为企业和个人应该更多地关注供应商的情况。如果他们不愿意去，你也会有危险。一些网友也表达了他们对此事的无力：数据泄露是多么容易。当然，一些网友认为造成这起事故的《一级方程式》非常令人恼火。一些人甚至在Reddit上评论道：“这家公司应该消失。”前所未有的车祸数据。它不是一两个，也不是分为传统的汽车工厂和新的造车力量。从通用汽车、菲亚特克莱斯勒、福特、丰田、大众到特斯拉等100多家汽车制造商，现在所有机密数据都被供应商的公共服务器暴露。此外，想到没有人知道这种安全风险何时开始，也不可能知道是否有其他人发现了它，甚至不可能知道数据是否被泄露，这是非常可怕的。

今天，数据安全事件的主角是Level One，一家2000年在加拿大成立的汽车供应商。由于它提供机器人和自动化方面的工程服务，它在世界各地有100多个合作伙伴。H……

网络安全公司UpGuard的研究员Chris Vickery发现，正是这样一个“能力越大，责任越大”的供应商，数据后门敞开，很容易访问其合作伙伴的机密文件。从车库开发的蓝图规划、工厂原理、制造细节，到客户的合同材料、工作计划、各种保密协议文件，甚至员工的驾照和护照扫描件，总数量为157G，其中包括近47000份文件。数据的保密性和丰富性让人们在背后感到寒冷。事件的细节最早可以追溯到本月1日。当时，UpGuard安全团队的研究员Chris Vickery首先“盯上”了这个数据库。在UpGuard中，Chris Vickery的核心工作是检查那些“无人值守”的缓存数据库，并检查是否存在免密码访问的可能性。因此，有人把他的职位称为：互联网数据库的监督者。

然而，在反复检查的过程中，Chris Vickery确认泄漏源是供应商Level One，并且可以通过Level One的文件传输协议rsync无障碍地访问上述所有私人数据。因此，7月9日，Chris Vickery联系了Level One，10日，Level One采取离线模式暂时停止数据库曝光。Rsync，罪魁祸首，实际上是一个广泛使用的应用程序，经常用于大规模的数据传输和备份。然而，如果没有采取适当的措施来限制rsync服务，数据可能会被暴露。这一次，Level One的错误在于，它没有限制用户的IP地址，以便非指定的客户端可以连接，并且它没有设置用户访问权限，例如，客户端在接收信息之前进行身份验证。换句话说，rsync可以在没有这些措施的情况下被公开访问。而且，这次数据曝光的规模已经超出了当事人和吃瓜群众的想象。暴露的信息主要包括客户数据、员工信息和一级协议数据。他们都很头疼。它们都是定时炸弹。客户数据包括通用汽车、福特和特斯拉等100多家大型制造商的装配线和工厂示意图，这些制造商与Level One、保密协议、机器人配置、规格和演示动画合作。

数据中还包括工厂布局和机器人产品的详细CAD图纸。

除了原理图，详细的机器配置、规格和使用文件，以及机器人在工作中的动画也被曝光。

一级客户发送给其中一些客户的身份证和VPN代金券也在rsync中公开。

发现了波音公司徽章的申请表。最讽刺的是，数十份保密协议的全文也被曝光，客户隐私条款、保密数据文件和保密协议都被曝光。

特斯拉的保密协议是令人震惊还是出乎意料？但暴露出来的问题不仅仅是这些。第二类是客户的员工数据，包括扫描的员工驾照和护照、员工姓名和身份证号码，以及照片和其他私人数据。

护照扫描信息最后，还有Level One自己的数据。一些合作合同、发票、报价、工作范围和客户协议也在数据库中。

One Level的银行文件发现，也就是说，对于这100多家制造商来说，从内部人员到外部合作伙伴的数据被公开得更加悲惨，无论其他公司……

le在漏洞暴露之前访问过，目前还没有结论。更不用说这些数据一旦落入别有用心的人手中，会造成什么样的威胁。隐患警告对于汽车制造商来说，工厂布局、自动化工艺和机器人规格等重要竞争力最终决定了公司的产出潜力。这些机密信息一旦被外人知道，可能会导致竞争对手的抄袭和别有用心的恶意破坏。内衣在汽车工厂的竞争中已经不是什么秘密了。更令人不安的是，这些文件涉及100多家制造商对数字和物理访问的访问。此外，当发现该漏洞时，rsync服务器上设置的权限显示该服务器实际上是可公开写入的！这意味着一些人可能更改了里面的文件，例如直接替换存款指令中的银行账号或嵌入恶意软件。这是一起严重的安全事故现场，给100多家制造商带来了无尽的安全风险。汽车制造是一件关乎生命的事情。如果别有用心的人获得了这些数据，然后将其用于汽车关键部件的漏洞攻击，想想就令人不寒而栗。最后，由于其中还包含大量个人隐私数据，因此它是否会被用于其他危险用途尚不得而知。并且通过相关信息碰撞到数据库中，也可能造成连锁数据泄露，威胁远不止汽车数据本身。到目前为止，Level One首席执行官Milan Gasco已经做出回应，表示他非常重视这个问题，正在进行全面调查，但他无法透露更多细节。相关的汽车工厂一定很想成为你裤子里的蚂蚁，但现在他们只能选择不予置评。此外，Level One的首席执行官还表示，除了安全研究员Vickery之外，任何外部方几乎不可能找到门户网站并看到数据，但他没有相关的工具或手段来证明谁访问了数据库。

0

然而，这种解释过于年轻、过于简单，有时甚至过于天真。Milan Gasco认为只有像Vickery这样的信息安全专家才能发现这个漏洞。但Chris Vickery也表示，Level One的数据可以通过公开的备份服务器轻松找到，不需要密码或特殊访问权限，任何连接的人都可以下载这些材料。对于这次数据车祸，只能说明像Level One这样的供应商真的很粗心。这一次无疑给我们上了另一个教训：第三方供应商和承包商可能导致的数据泄露风险，例子层出不穷。就在上个月，票务公司TicketMaster还表示，数千名客户的支付信息被盗，消息来源是Inbenta在TicketMaster网站上运行客户支持聊天机器人的软件存在漏洞。此外，别忘了，震惊世界的脸书数据泄露事件的源头也在第三方公司“剑桥分析”。

1

在安全研究公司Ponemon去年调查的企业中，56%的企业表示他们遭受了与供应商相关的数据泄露。此外，当越来越多的第三方访问该公司时，数据泄露的风险也在增加。此外，越来越多的第三方公司可以访问敏感信息，每年以24%的速度增长。再加上越来越强大的人工智能算法，越来越多以前“无用”的数据被插入。新时代的安全事件每一次都可能爆发到新的高度。在多次评论这场数据灾难的曝光后，外媒、推特等网友聚集地炸开了锅。外媒《纽约时报》在报道标题中使用了“大红旗”的描述，指的是危险信号，经常被用来比喻“让人愤怒的事情”。Mark Schettenhem是一位多年的老产品经理，他认为企业和个人应该更多地关注供应商的情况。如果他们不愿意去，你也会有危险。一些网友也表达了他们对此事的无力：数据泄露是多么容易。当然，一些网友认为造成这起事故的《一级方程式》非常令人恼火。一些人甚至在Reddit上评论道：“这家公司应该消失。”

标签：发现特斯拉福特大众丰田

汽车资讯热门资讯