硅谷Live / 實地探訪 / 熱點探秘/ 深度探討
前所未有的數據車禍事件。
不是1家2家,也不分傳統車廠和造車新勢力。
100多家車廠,從通用汽車、菲亞特克萊斯勒、福特、豐田,大眾到特斯拉,現在機密數據統統被供應商的共同服務器曝光。
而且細思極恐的是,沒人知道這個安全風險何時開始,也無法知道是否還有別人發現,更不知道數據是否已經外洩。
今天,數據安全事件的當事主角叫 Level One,一家2000年創辦於加拿大的汽車供應商,由於提供機器人和自動化方面的工程服務,在全球有100多家合作伙伴。
然而,正是這樣一家“能力越大責任越大”的供應商,被網絡安全公司 UpGuard 的研究員 Chris Vickery 發現,數據後門大開,輕鬆訪問其合作伙伴的機密文件。
從車廠發展藍圖規劃、工廠原理、製造細節,到客戶合同材料、工作計劃,再到各種保密協議文件……甚至員工的駕駛證和護照的掃描件等隱私信息,共計157千兆字節,包含近47,000個文件。
數據之機密和豐富,令人背後發涼。
事件詳情
事情目前可最早追溯到本月1號。當時UpGuard安全團隊的研究員Chris Vickery首次“盯上”了這個數據庫。
在UpGuard,Chris Vickery的核心工作就是檢查那些“無人看守”的緩存數據庫,並檢查是否存在無密碼訪問的可能。因此,也有人將他崗位稱為:互聯網數據庫的看門狗。
但就在反覆檢查過程中,Chris Vickery確認,洩露源正是供應商Level One,通過Level One的文件傳輸協議 rsync,可以無障礙訪問上述所有隱私數據。
於是7月9日,Chris Vickery聯繫到Level One,10日,Level One採取斷網脫機的方式,暫時止住了數據庫裸露。
罪魁禍首的rsync其實是一種廣泛使用的應用程序,經常用於大型數據傳輸和備份。但是,如果不採取適當的步驟限制rsync服務,數據可能就有洩露的風險。
這一次,Level One錯在沒有限制使用者的IP地址,讓非指定客戶端也能連接,並且也沒有設置用戶訪問權限,比如客戶端在接收信息前進行身份驗證等。
也就是說,在沒有這些措施保障的情況下,rsync 是可以公開訪問的。
而且這次數據暴露的規模之大,已經超乎了當事人和吃瓜群眾的想象。
暴露的信息主要包括客戶數據、員工信息及與Level One協議數據三類。
都很頭疼,都是定時炸彈。
客戶數據包括與 Level One 合作的通用、福特、特斯拉等 100 多家大型製造商的裝配線和工廠原理圖,保密協議和機器人的配置、規格、演示動畫等。
工廠佈局和機器人產品的詳細CAD圖紙也包含在數據中。
除了原理圖外,詳細說明的機器配置、規格和使用文檔,以及機器人在工作時的動畫也已暴露。
Level One的客戶向其中一些客戶端發送的ID證章和VPN憑證也在rsync中公開。
發現的波音公司的證章申請表
最具諷刺意味的是,數十份保密協議的全文也在曝光行列,客戶隱私條款、保密數據文件、以及保密性質協議,統統外露。
特斯拉的保密協議
驚不驚悚,意不意外?但暴露的事項不僅僅這些。
第二類是客戶的員工數據,包括員工駕駛執照和護照掃描件、員工姓名和身份證號碼,還有照片等隱私數據。
護照掃描件信息
最後,還有 Level One 自己的數據。比一些合作的合同、發票、報價、工作範圍和客戶協議等,也在該數據庫中。
發現的 Level One 的銀行文檔
也就是說,對於這100多家制造商來說,從內部人員到外部合作方數據,都已昭告天下——更悲劇的是,在漏洞曝光之前,是否有其他人士訪問過,目前還沒有結論。
更別說這些數據一旦落入“別有用心”人士之手,將會造成怎樣的威脅。
隱患警報
對於車廠來說,工廠佈局、自動化流程和機器人規格等重要競爭力,最終決定了公司的輸出潛力。
這些機密信息一旦被外人知悉,可能會招來競爭對手的的抄襲和叵測居心人的惡意破壞。
車廠競爭方面的底褲,也沒有秘密可言了。
更令人不安的是,這些文件涉及到100多家制造商獲得數字和物理訪問的權限。而且,在漏洞發現時,rsync服務器上設置的權限表明,服務器竟然是可公開寫入的?!
這意味著一些人可能已經更改了裡面的文檔,比如可能直接替換存款指令中的銀行帳號或嵌入惡意軟件。
這是一次嚴重的安全事故車禍現場,給這100多家制造商帶來的安全風險後患無窮。
汽車製造,人命關天。
如果別有用心的人士已經獲取了這些數據,然後用於汽車關鍵部件的漏洞攻擊,想想就令人不寒而慄。
最後,因為還包含了不少個人相關的隱私數據,是否會被用來其他危險使用,都不得而知。
並且通過相關信息撞庫,還可能造成連鎖數據洩露,威脅遠不止汽車數據本身。
目前進展
截至目前,Level One 首席執行官米蘭-加斯科已經做出了回應,他說非常重視這一問題,並在進行全面調查,但還不能披露更多細節。
而相關涉及的車廠,肯定也已經著急成熱鍋螞蟻了,但現在心中再痛,他們也只能選擇不予置評。
另外,Level One CEO還表示,除了安全研究員Vickery之外,任何外部各方几乎不可能找到該入口、看到這些數據,但他並沒有相關工具或手段來證明:都有誰訪問過該數據庫。
然而這個解釋有些 too young、too simple,sometimes naive。米蘭-加斯科以為只有Vickery這樣信息安全專家才會發現這漏洞。
但Chris Vickery也說了,通過暴露的備份服務器就能輕鬆找到Level One的數據,並且不需要密碼或特殊訪問權限,任何連接的人都可以下載這些材料。
對於這起數據車禍,只能說明Level One這樣的供應商真太大意了。
而且此次無疑又給我們上了一課:第三方供應商和承包商可能造成的數據洩露風險,例子開始一個接一個。
就在上個月,票務公司Ticketmaster也表示數千名客戶的付款信息被盜,源頭則是Inbenta公司在TicketMaster網站上運行客戶支持聊天機器人的軟件存在漏洞。
另外別忘了,震驚全球的Facebook數據洩露事件,源頭也是在第三方公司“劍橋分析”。
安全研究公司Ponemon去年調查的企業中,有56%表示他們遭遇了供應商相關的數據洩露事件。而且在越來越多第三方獲得公司訪問權的時候,數據洩露的風險就在增加。
此外,越來越多的第三方公司還能獲得敏感信息,而且每年正在呈現24%的增長。
加之越來越強大的AI算法,給越來越多此前“沒啥用”的數據插上了翅膀。新時代裡的安全事件,每一次都可能炸出新高度。
多方評價
這場數據災難曝光後,外媒、Twitter等網友聚集地已經炸開了鍋。
外媒《紐約時報》在報道的標題中用了“BIG RED FLAG”的描述,這指代危險信號,也經常用來隱喻成“讓人生氣的事情”。
做了多年的老產品經理 Mark Schettenhelm 感慨,企業和個人應該多關注下供應商的狀況。如果他們不安去,則你也會遇到危險。
也有網友表示出面對此事無力感:數據洩露是一件多麼可能發生的容易事情。
當然,也有網友認為導致的這場事故發生的 Level One 很是讓人氣憤,甚至有人在Reddit上評論說:“這家公司應該消失了。”
閱讀更多 硅谷密探 的文章