特斯拉等百余家车厂机密数据泄露 公共服务器未“上锁”信息唾手可得

据安全研究公司UpGuard Cyber​​ Risk周五披露，来自100多家制造公司的敏感文件，包括通用汽车、菲亚特克莱斯勒、福特特斯拉丰田蒂森克虏伯和大众，都暴露在属于Level One Robotics的公共服务器上。

（图源：TechCrunch）

数据泄漏的源头都指向了这些车厂的共同服务器提供商 Level One Robotics。根据UpGuard Cyber​​ Risk的说法，通过提供工业自动化服务的Level One Robotics的曝光来自rsync——这是一种用于备份大型数据集的通用文件传输协议。《纽约时报》首次报道了此次大规模数据泄露事件。

根据安全研究人员的说法，rsync服务器没有受到限制。这意味着连接到rsync端口的任何rsync客户端都有权下载此数据。UpGuard Cyber​​ Risk发布了其如何发现数据泄露的帐户，以显示供应链中的公司如何影响看似具有严格的安全协议的大公司。

这意味着，如果有人知道在哪里可以看到他们可以访问受汽车制造商密切保护的商业机密。目前还不清楚任何是否真的有黑客掌握了数据。受影响的部分汽车制造商向TechCrunch表示，它们似乎并未出现敏感或专有数据被侵犯的现象。

7月10日，Level One Robotics采取断网脱机的方式，暂时切断了此次数据库泄露的路径。

UpGuard在所有这些方面都有很大帮助：rsync实例应该受到IP地址的限制。研究人员还建议设置用户访问rsync，以便客户端在接收数据集之前必须进行身份验证。研究人员表示，如果没有这些措施，rsync可以公开访问。

该漏洞暴露了157千兆字节的数据——10年装配线原理图、工厂平面图和布局，机器人配置和文档，ID图章请求表、VPN访问请求表等。违规行为甚至包括接触敏感的不披露协议，其中包括特斯拉的协议。

某些一级员工的个人详细信息，包括驾驶执照和护照的扫描，以及一级商务数据，包括发票、合同和银行帐户详细信息。

安全团队于7月1日发现了该漏洞。该公司在7月9日成功达到了一级，并且在第二天关闭。