圖片來源: 

UpGuard

安全廠商UpGuard發現,客戶遍及福特、豐田、特斯拉、福斯汽車的外部自動化供應商線上資料庫沒有設密碼,如果有人找到路徑,就可以將這些汽車大廠商的機敏資訊全部下載下來。

安全廠商UpGuard網路安全團隊在7月1日發現一台rsync伺服器可公開任人存取。rsync是用於大量備份檔案傳輸的協定。追查後發現該伺服器屬於生產自動化流程及組裝平台服務供應商Level One,其客戶涵括多家知名汽車品牌及主要零件廠商。這次公開連網資料庫的資料屬於福斯、克萊斯勒、福特、豐田、通用、特斯拉和德國蒂森克虜伯(ThyssenKrupp AG)等上百家製造商。

經過分析,這個資料庫內的資料包括157 GB、超過10年的組裝線圖表、廠區平面CAD圖、機器設定和文件、員工識別證申請表、VPN申請表及保密協定表格等,許多資料屬於高度敏感類型。雖然不是所有曝險的都是客戶資訊,但這家廠商每家客戶都或多或少有資料曝光。此外,還有Level One的員工個資,像是駕駛執照及護照掃描檔,以及該公司的發票、合約和銀行帳號等公司資訊。

曝險的rsync伺服器未限制存取者的IP位置或身份,任何知道網址的人只要連向該伺服器,就可以透過rsync用戶端下載上述這些資訊。安全業者指出,這次如此大批資訊被公開放在網上,顯示只要第三方、甚至第四方供應鏈廠商的安全風險,就可能波及全球最大的企業。自動化及數位化固然大幅改變汽車製造業,卻也帶來新的問題。

UpGuard在7 月1日發現問題並追查出該資料庫所有人後,7月5日聯絡Level One,但4天後雙方才成功聯絡上,Level One並接獲通知後於7月10日將資料庫隔離下線。

合作夥伴成為資料外洩罩門已非少見。去年蘋果發生中國經銷商及蘋果外包商員工利用權限竊取iPhone用戶個資,並以每則10到180元人民幣不等的代價在網路上販售,粗估獲利超過5000萬人民幣(約台幣2.2億元)。

此外,去年也陸續傳出澳洲國防外包商洩露F35戰機機密、美特種部隊外包商伺服器漏洞洩露機密人事個資以及電信業者Verizon及時代華納外包商的AWS S3未做好防護,殃及600與400萬用戶個資曝光等重大事件。


Advertisement

更多 iThome相關內容