安全研究人员UpGuard Cyber Risk上周五透露,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯和大众在内的100多家汽车制造商的敏感文件被公布在一个隶属Level One Robotics可公开访问的服务器上。
根据UpGuard Cyber Risk的介绍,通过提供工业自动化服务的Level One Robotics进行的曝光,来自rsync,一种用于备份大型数据集的通用文件传输协议。《纽约时报》最先报道了这一数据泄露事件。
这名安全研究人员表示,rsync服务器没有设置限制。这意味着连接到rsync端口的任何rsync客户端都可以下载此数据。UpGuard Cyber Risk公布了它如何发现数据漏洞的过程,以显示供应链中的一家公司会如何影响具有看似严密安全协议的大公司。
也就是说,如果有人知晓这一原理,他们就能获得汽车制造商严密保护的商业机密。目前还不清楚是否有不法分子真的拿到了数据。至少有一个来自一家受影响的汽车制造商的消息人士表示,敏感或专有数据似乎没有被曝光。
UpGuard也给出了专业建议:rsync实例应受IP地址限制。研究人员还建议设置用户对rsync的访问权限,以便客户端在接收数据集之前必须进行身份验证。研究人员说,没有这些措施,rsync就可以被公开访问。
这一数据泄露事件暴露了157千兆字节的数据,包括10年的装配线示意图、工厂平面图和布局、机器人配置和文档、ID证件申请表和VPN访问申请表。泄漏数据中甚至包括特斯拉等公司的敏感保密协议。
一些Level One员工的个人资料也遭到泄漏,包括驾驶执照和护照的扫描件,和Level One业务数据,包括发票、合同与银行账户详细信息。
该安全团队于7月1日发现了这一数据泄漏事件。该公司在7月9日前成功联系了Level One,第二天,泄漏问题就得到了解决。
编译:福尔摩望