[[237449]]

　　前所未有的數(shù)據(jù)車禍事件。

　　不是 1 家 2 家，也不分傳統(tǒng)車廠和造車新勢力。

　　100 多家車廠，從通用汽車、菲亞特克萊斯勒、福特、豐田，大眾到特斯拉，現(xiàn)在機密數(shù)據(jù)統(tǒng)統(tǒng)被供應(yīng)商的共同服務(wù)器曝光。

　　而且細思極恐的是，沒人知道這個安全風(fēng)險何時開始，也無法知道是否還有別人發(fā)現(xiàn)，更不知道數(shù)據(jù)是否已經(jīng)外泄。

[[237450]]

　　今天，數(shù)據(jù)安全事件的當事主角叫 Level One，一家 2000 年創(chuàng)辦于加拿大的汽車供應(yīng)商，由于提供機器人和自動化方面的工程服務(wù)，在全球有 100 多家合作伙伴。

　　然而，正是這樣一家“能力越大責(zé)任越大”的供應(yīng)商，被網(wǎng)絡(luò)安全公司 UpGuard 的研究員 Chris Vickery 發(fā)現(xiàn)，數(shù)據(jù)后門大開，輕松訪問其合作伙伴的機密文件。

　　從車廠發(fā)展藍圖規(guī)劃、工廠原理、制造細節(jié)，到客戶合同材料、工作計劃，再到各種保密協(xié)議文件……甚至員工的駕駛證和護照的掃描件等隱私信息，共計 157 千兆字節(jié)，包含近 47，000 個文件。

　　數(shù)據(jù)之機密和豐富，令人背后發(fā)涼。

[[237451]]

　　事件詳情

　　事情目前可最早追溯到本月 1 號。當時 UpGuard 安全團隊的研究員 Chris Vickery 首次“盯上”了這個數(shù)據(jù)庫。

　　在 UpGuard，Chris Vickery 的核心工作就是檢查那些“無人看守”的緩存數(shù)據(jù)庫，并檢查是否存在無密碼訪問的可能。因此，也有人將他崗位稱為：互聯(lián)網(wǎng)數(shù)據(jù)庫的看門狗。

[[237452]]

　　但就在反復(fù)檢查過程中，Chris Vickery 確認，泄露源正是供應(yīng)商 Level One，通過 Level One 的文件傳輸協(xié)議 rsync，可以無障礙訪問上述所有隱私數(shù)據(jù)。

　　于是 7 月 9 日，Chris Vickery 聯(lián)系到 Level One，10 日，Level One 采取斷網(wǎng)脫機的方式，暫時止住了數(shù)據(jù)庫裸露。

　　罪魁禍首的 rsync 其實是一種廣泛使用的應(yīng)用程序，經(jīng)常用于大型數(shù)據(jù)傳輸和備份。但是，如果不采取適當?shù)牟襟E限制 rsync 服務(wù)，數(shù)據(jù)可能就有泄露的風(fēng)險。

　　這一次，Level One 錯在沒有限制使用者的 IP 地址，讓非指定客戶端也能連接，并且也沒有設(shè)置用戶訪問權(quán)限，比如客戶端在接收信息前進行身份驗證等。

　　也就是說，在沒有這些措施保障的情況下，rsync 是可以公開訪問的。

　　而且這次數(shù)據(jù)暴露的規(guī)模之大，已經(jīng)超乎了當事人和吃瓜群眾的想象。

　　暴露的信息主要包括客戶數(shù)據(jù)、員工信息及與 Level One 協(xié)議數(shù)據(jù)三類。

　　都很頭疼，都是定時炸彈。

　　客戶數(shù)據(jù)包括與 Level One 合作的通用、福特、特斯拉等 100 多家大型制造商的裝配線和工廠原理圖，保密協(xié)議和機器人的配置、規(guī)格、演示動畫等。

　　工廠布局和機器人產(chǎn)品的詳細 CAD 圖紙也包含在數(shù)據(jù)中。

　　除了原理圖外，詳細說明的機器配置、規(guī)格和使用文檔，以及機器人在工作時的動畫也已暴露。

　　Level One 的客戶向其中一些客戶端發(fā)送的 ID 證章和 VPN 憑證也在 rsync 中公開。

發(fā)現(xiàn)的波音公司的證章申請表

　　最具諷刺意味的是，數(shù)十份保密協(xié)議的全文也在曝光行列，客戶隱私條款、保密數(shù)據(jù)文件、以及保密性質(zhì)協(xié)議，統(tǒng)統(tǒng)外露。

特斯拉的保密協(xié)議

　　驚不驚悚，意不意外？但暴露的事項不僅僅這些。

　　第二類是客戶的員工數(shù)據(jù)，包括員工駕駛執(zhí)照和護照掃描件、員工姓名和身份證號碼，還有照片等隱私數(shù)據(jù)。

護照掃描件信息

　　最后，還有 Level One 自己的數(shù)據(jù)。比一些合作的合同、發(fā)票、報價、工作范圍和客戶協(xié)議等，也在該數(shù)據(jù)庫中。

發(fā)現(xiàn)的 One Level 的銀行文檔

　　也就是說，對于這 100 多家制造商來說，從內(nèi)部人員到外部合作方數(shù)據(jù)，都已昭告天下——更悲劇的是，在漏洞曝光之前，是否有其他人士訪問過，目前還沒有結(jié)論。

　　更別說這些數(shù)據(jù)一旦落入“別有用心”人士之手，將會造成怎樣的威脅。

　　隱患警報

　　對于車廠來說，工廠布局、自動化流程和機器人規(guī)格等重要競爭力，最終決定了公司的輸出潛力。

　　這些機密信息一旦被外人知悉，可能會招來競爭對手的的抄襲和叵測居心人的惡意破壞。

　　車廠競爭方面的底褲，也沒有秘密可言了。

　　更令人不安的是，這些文件涉及到 100 多家制造商獲得數(shù)字和物理訪問的權(quán)限。

　　而且，在漏洞發(fā)現(xiàn)時，rsync 服務(wù)器上設(shè)置的權(quán)限表明，服務(wù)器竟然是可公開寫入的？！

　　這意味著一些人可能已經(jīng)更改了里面的文檔，比如可能直接替換存款指令中的銀行帳號或嵌入惡意軟件。

　　這是一次嚴重的安全事故車禍現(xiàn)場，給這 100 多家制造商帶來的安全風(fēng)險后患無窮。

　　汽車制造，人命關(guān)天。

　　如果別有用心的人士已經(jīng)獲取了這些數(shù)據(jù)，然后用于汽車關(guān)鍵部件的漏洞攻擊，想想就令人不寒而栗。

　　最后，因為還包含了不少個人相關(guān)的隱私數(shù)據(jù)，是否會被用來其他危險使用，都不得而知。

　　并且通過相關(guān)信息撞庫，還可能造成連鎖數(shù)據(jù)泄露，威脅遠不止汽車數(shù)據(jù)本身。

[[237454]]

目前進展

　　截至目前，Level One 首席執(zhí)行官米蘭-加斯科已經(jīng)做出了回應(yīng)，他說非常重視這一問題，并在進行全面調(diào)查，但還不能披露更多細節(jié)。

　　而相關(guān)涉及的車廠，肯定也已經(jīng)著急成熱鍋螞蟻了，但現(xiàn)在心中再痛，他們也只能選擇不予置評。

　　另外，Level One CEO 還表示，除了安全研究員 Vickery 之外，任何外部各方幾乎不可能找到該入口、看到這些數(shù)據(jù)，但他并沒有相關(guān)工具或手段來證明：都有誰訪問過該數(shù)據(jù)庫。

[[237455]]

　　然而這個解釋有些 too young、too simple，sometimes naive。米蘭-加斯科以為只有 Vickery 這樣信息安全專家才會發(fā)現(xiàn)這漏洞。

　　但 Chris Vickery 也說了，通過暴露的備份服務(wù)器就能輕松找到 Level One 的數(shù)據(jù)，并且不需要密碼或特殊訪問權(quán)限，任何連接的人都可以下載這些材料。

　　對于這起數(shù)據(jù)車禍，只能說明 Level One 這樣的供應(yīng)商真太大意了。

　　而且此次無疑又給我們上了一課：第三方供應(yīng)商和承包商可能造成的數(shù)據(jù)泄露風(fēng)險，例子開始一個接一個。

　　就在上個月，票務(wù)公司 Ticketmaster 也表示數(shù)千名客戶的付款信息被盜，源頭則是 Inbenta 公司在 TicketMaster 網(wǎng)站上運行客戶支持聊天機器人的軟件存在漏洞。

　　另外別忘了，震驚全球的 Facebook 數(shù)據(jù)泄露事件，源頭也是在第三方公司“劍橋分析”。

[[237456]]

　　安全研究公司 Ponemon 去年調(diào)查的企業(yè)中，有 56% 表示他們遭遇了供應(yīng)商相關(guān)的數(shù)據(jù)泄露事件。而且在越來越多第三方獲得公司訪問權(quán)的時候，數(shù)據(jù)泄露的風(fēng)險就在增加。

　　此外，越來越多的第三方公司還能獲得敏感信息，而且每年正在呈現(xiàn) 24% 的增長。

　　加之越來越強大的 AI 算法，給越來越多此前“沒啥用”的數(shù)據(jù)插上了翅膀。

　　新時代里的安全事件，每一次都可能炸出新高度。

　　多方評價

　　這場數(shù)據(jù)災(zāi)難曝光后，外媒、Twitter 等網(wǎng)友聚集地已經(jīng)炸開了鍋。

　　外媒《紐約時報》在報道的標題中用了“BIG RED FLAG”的描述，這指代危險信號，也經(jīng)常用來隱喻成“讓人生氣的事情”。

　　做了多年的老產(chǎn)品經(jīng)理 Mark Schettenhelm 感慨，企業(yè)和個人應(yīng)該多關(guān)注下供應(yīng)商的狀況。如果他們不安去，則你也會遇到危險。

　　也有網(wǎng)友表示出面對此事無力感：數(shù)據(jù)泄露是一件多么可能發(fā)生的容易事情。

　　當然，也有網(wǎng)友認為導(dǎo)致的這場事故發(fā)生的 One Level 很是讓人氣憤，甚至有人在 Reddit 上評論說：“這家公司應(yīng)該消失了。”