現在的你,安全麼?
…………
放心,畢竟你這會兒是身在不會狠心地用毒雞湯攪動你的情緒然後收割焦慮的一個偶爾皮一下的正經科技號。開篇提出這個問題,是因為這周頭條的內容全都聚焦於此:
Uber 首席隱私官
共享出行方便我們的同時,也帶來了用戶隱私數據安全問題:舉目四望幾家共享出行的行業巨頭,從剛剛才從風口浪尖狼狽脫身的滴滴到似乎離我們越來越遠的Uber,無一例外。
以Uber為例,之前就被曝出在內部留有所謂的“上帝視窗”,可供高級員工查看用戶的乘車歷史甚至實時數據。而事實上其獲得數據的能力還遠超於此——據報道稱Uber高管在處理印度一名女性乘客被Uber司機強姦案時居然獲得了這位女性的醫療記錄。
不過,隨著Travis Kalanick式野蠻生長時代的結束,現在的Uber至少看起來慢慢在樹立謙和與社會責任感的人設。這不,7月18日Uber宣佈聘請Inter首席隱私和安全官Ruby Zefo作為其公司歷史上首位首席隱私官(CPO),向國際隱私專業人士協會報告(Zefo也是該組織董事會的成員)。
不僅如此,Uber還聘請了前TomTom隱私和安全副總裁Simon Hania擔任其數據保護官,兩位都將直接向Uber首席法律官Tony West彙報工作。
按照Uber聲明,Zefo的新職位將“填補全球範圍內負責開發和發展的重要角色。在我們經營的每個市場規範隱私標準、程序和流程”。而Hania將“基於他的技術專長和客觀性的聲譽並結合他之前的經歷以及他對歐洲隱私法的深入瞭解為我們的用戶提供良好的服務——在全球範圍內建立隱私計劃、團隊和治理框架,他豐富的專業知識將為Uber拓展和加強全球用戶隱私保護創造重要機會。”
亡羊補牢為時未晚,更換主帥一年後的Uber想要挪出信任危機陰影而努力釋放的信號正慢慢被人們所接收,但同場競技的其餘者呢?
漏洞百出的供應鏈之殤
7月1日,網絡安全公司Upguard發現了一個暴露的rsync服務器,並對暴露數據進行分析。
這一分析不打緊,這157千兆字節的暴露數據中居然了包括大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉等等我們耳熟能詳的汽車製造商們的各項敏感資料。
7月5日,Upguard確定了暴露服務器的所有權後,嘗試與事主Level One Robotics and Controls公司聯繫,並在7月9日與其成功接觸建立聯繫。
7月10日,數據暴露被及時終止。
在展開前做個2個簡單釋疑:
- rsync是由澳洲計算機程序師Andrew Tridgel發明的一種被廣泛使用於大型數據傳輸,尤其是備份或保持文件在多個位置同步使用的程序;rsync服務器不受IP或用戶的限制,並且數據集可下載到連接到rsync端口的任何rsync客戶端。但是,與大多數此類工具一樣,如果不採取適當的步驟來限制rsync服務,則將產生安全隱患,比如這次大規模敏感數據的暴露。
- Level One Robotics and Controls公司是一家於2000年在加拿大成立的,為系統集成商和機器製造商提供從項目管理、機械設計、模擬、控制、焊接工程和現場支持的全方位工程服務的工業自動化服務供應商。
按照傳統的數據洩露處理慣例,事件被詳細公諸於眾說明已得到了圓滿的解決,但讓我們看看這次事件的嚴重性:
- 客戶數據-——裝配線和工廠原理圖; 保密協議; 機器人配置,規格,動畫和藍圖; 身份證和VPN訪問請求表; 客戶聯繫信息;
- 員工數據-——員工姓名、身份證號碼,包含清晰照片的駕駛執照和護照掃描;
- 第一級數據——合同、發票、價格談判和工作範圍、客戶協議(上圖為某客戶的銀行資料信息)
是不是已經頗覺有點觸目驚心?但讓人更加細思極恐的是在此次事件中,Upguard公司不僅發現了大面積暴露的敏感數據,還發現在Level One Robotics and Controls的rsync服務器上設置的權限記錄表明服務器是可公開寫入的……也就是說到底是遇到一個隨便替換一下指令中的銀行帳號的貪財黑客,還是遇到一個嵌入影響車輛生產安全甚至造成用戶行駛事故的惡意軟件的想要搞事/想要博名的黑客,全憑運氣!
雖然據Upguard所說,此處漏洞還沒有遭受黑客的惡意攻擊。但這也給足夠整個汽車製造的全生態鏈都敲響一次警鐘:當汽車製造商們每年砸入巨資完善數據安全的同時,產業鏈上的隊友們的一點點小疏忽卻就能將這好不容易構築起來的防線瞬間摧毀。
閱讀更多 極車製造 的文章
