原标题:第三方服务商资料库不设防,恐使福特、丰田、特斯拉等汽车制造商10年资料曝光
图片来源:UpGuard
安全厂商UpGuard发现,客户遍及福特、丰田、特斯拉、福斯汽车的外部自动化供应商线上资料库没有设密码,如果有人找到路径,就可以将这些汽车大厂商的机敏资讯全部下载下来。
安全厂商UpGuard网络安全团队在7月1日发现一台rsync伺服器可公开任人存取。rsync是用于大量备份档案传输的协议。追查后发现该伺服器属于生产自动化流程及组装平台服务供应商Level△One,其客户涵括多家知名汽车品牌及主要零件厂商。这次公开连网资料库的资料属于福斯、克莱斯勒、福特、丰田、通用、特斯拉和德国蒂森克虏伯(ThyssenKrupp△AG)等上百家制造商。
经过分析,这个资料库内的资料包括157 GB、超过10年的组装线图表、厂区平面CAD图、机器设定和文件、员工识别证申请表、VPN申请表及保密协议表格等,许多资料属于高度敏感类型。虽然不是所有曝险的都是客户资讯,但这家厂商每家客户都或多或少有资料曝光。此外,还有Level△One的员工个资,像是驾驶执照及护照扫描档,以及该公司的发票、合约和银行帐号等公司资讯。
曝险的rsync伺服器未限制存取者的IP位置或身份,任何知道网址的人只要连向该伺服器,就可以通过rsync用户端下载上述这些资讯。安全业者指出,这次如此大批资讯被公开放在网上,显示只要第三方、甚至第四方供应链厂商的安全风险,就可能波及全球最大的企业。自动化及数位化固然大幅改变汽车制造业,却也带来新的问题。
UpGuard在7 月1日发现问题并追查出该资料库所有人后,7月5日联络Level△One,但4天后双方才成功联络上,Level△One并接获通知后于7月10日将资料库隔离下线。
合作伙伴成为资料外泄罩门已非少见。去年苹果发生中国经销商及苹果外包商员工利用权限窃取iPhone用户个资,并以每则10到180元人民币不等的代价在网络上贩售,粗估获利超过5000万人民币(约台币2.2亿元)。
此外,去年也陆续传出澳洲国防外包商泄露F35战机机密、美特种部队外包商伺服器漏洞泄露机密人事个资以及电信业者Verizon及时代华纳外包商的AWS未做好防护,殃及600与400万用户个资曝光等重大事件。
相关:
福特“Mustang野马”型号被中国“野马汽车”告侵权 需公开道歉及赔百万 | 香港 UNWIRE.HK 玩生活.乐科技
“野马”这个称呼在汽车界很多人都想起福特的 Mustang。然而福特最近被卷入与四川“山寨”车厂“野马汽车”的商标纠纷。成都市中级人民法院日前发表裁判结果,判福特败诉,需向“野马汽车”赔偿 100 万人民币以及向该
售票网站Ticketmaster第三方通讯软件遭骇,仅是大量窃取信用卡和银行帐号的冰山一角
先前,售票网站Ticketmaster在6月底传出部分用户个资外泄的事件。但美国的威胁鉴识公司RiskIQ研究发现,上述的攻击,并非Ticketmaster初步调查报告所述的单一事件,影响范围扩及旗下更多网站。根据Ticketmaster在6月
【专访】gini 创办人回应 被银行划清界线+第三方理财App可信吗? | 香港 UNWIRE.HK 玩生活.乐科技
香港金管局今年就银行业开放应用程序介面框架(API)作出咨询,表示未来市民除使用银行提供的官方 App 外,更可用第三方 App 管理银行帐户,使银行户口与生活、医疗保健、零售等 App 贯通。而本地初创就已经率先制作
【有片睇】丰田全球首架氢动力船 环游世界2020到东京 | 香港 UNWIRE.HK 玩生活.乐科技
由日本汽车公司丰田投资及研发的氢气动力船,在上年 5 月于法国巴黎启航,现在身处地中海,准备环绕地球,在 2020 年会途经东京为奥运助庆。这艘名为 Engergy Observer 的氢动力船,除氢动力外,也由太阳能,风能﹑波
Google 回应电邮泄露事件:严谨筛选第三方App开发商 | 香港 UNWIRE.HK 玩生活.乐科技
自 Google 一直与第三方开发商分享用户电邮一事被广泛报道后,负责 Google 云端硬盘的安全和私隐管理的总监 Suzanne Frey 昨天在日志上发文详述筛选第三方发开商的准则,及强调广告非 Google 的主要收入来源,冀释除