大規模商業(yè)機密泄露，通用、福特、特斯拉等百家汽車(chē)制造商中招

　　安全研究人員UpGuard Cyber Risk上周五透露，包括通用汽車(chē)、菲亞特克萊斯勒、福特、特斯拉、豐田、蒂森克虜伯和大眾在內的100多家汽車(chē)制造商的敏感文件被公布在一個(gè)隸屬Level One Robotics可公開(kāi)訪(fǎng)問(wèn)的服務(wù)器上。

　　根據UpGuard Cyber Risk的介紹，通過(guò)提供工業(yè)自動(dòng)化服務(wù)的Level One Robotics進(jìn)行的曝光，來(lái)自rsync，一種用于備份大型數據集的通用文件傳輸協(xié)議?！都~約時(shí)報》最先報道了這一數據泄露事件。

　　這名安全研究人員表示，rsync服務(wù)器沒(méi)有設置限制。這意味著(zhù)連接到rsync端口的任何rsync客戶(hù)端都可以下載此數據。UpGuard Cyber Risk公布了它如何發(fā)現數據漏洞的過(guò)程，以顯示供應鏈中的一家公司會(huì )如何影響具有看似嚴密安全協(xié)議的大公司。

　　也就是說(shuō)，如果有人知曉這一原理，他們就能獲得汽車(chē)制造商嚴密保護的商業(yè)機密。目前還不清楚是否有不法分子真的拿到了數據。至少有一個(gè)來(lái)自一家受影響的汽車(chē)制造商的消息人士表示，敏感或專(zhuān)有數據似乎沒(méi)有被曝光。

　　UpGuard也給出了專(zhuān)業(yè)建議：rsync實(shí)例應受IP地址限制。研究人員還建議設置用戶(hù)對rsync的訪(fǎng)問(wèn)權限，以便客戶(hù)端在接收數據集之前必須進(jìn)行身份驗證。研究人員說(shuō)，沒(méi)有這些措施，rsync就可以被公開(kāi)訪(fǎng)問(wèn)。

　　這一數據泄露事件暴露了157千兆字節的數據，包括10年的裝配線(xiàn)示意圖、工廠(chǎng)平面圖和布局、機器人配置和文檔、ID證件申請表和VPN訪(fǎng)問(wèn)申請表。泄漏數據中甚至包括特斯拉等公司的敏感保密協(xié)議。

　　一些Level One員工的個(gè)人資料也遭到泄漏，包括駕駛執照和護照的掃描件，和Level One業(yè)務(wù)數據，包括發(fā)票、合同與銀行賬戶(hù)詳細信息。

　　該安全團隊于7月1日發(fā)現了這一數據泄漏事件。該公司在7月9日前成功聯(lián)系了Level One，第二天，泄漏問(wèn)題就得到了解決。