UpGuard Cyber Risk 的安全隊(duì)伍現(xiàn)在透露，100多家汽車產(chǎn)業(yè)鏈上下游公司的敏感文件已泄露，這些文件放在屬于Level One Robotics的一臺(tái)服務(wù)器上，“這是一家主攻自動(dòng)化流程和裝配的工程服務(wù)提供商，面向OEM（原始設(shè)備制造商）、一級(jí)汽車供應(yīng)商以及我們的最終用戶。

”此事件中泄露數(shù)據(jù)的公司包括大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉和蒂森克虜伯等。

泄露的157GB數(shù)據(jù)包含10多年的裝配線原理圖、工廠平面圖及布局、機(jī)器人配置及說明文檔、身份證件申請(qǐng)表和VPN訪問請(qǐng)求表，另外居然還有保密協(xié)議，詳細(xì)表明了泄露信息的敏感性。

并非所有客戶的所有類型的信息已被發(fā)現(xiàn)，但每個(gè)客戶都包含這些類型的一些數(shù)據(jù)。

另外還包含一些Level One員工的個(gè)人詳細(xì)信息（包括駕照和護(hù)照的掃描件）以及Level One的商業(yè)數(shù)據(jù)（包括發(fā)票、合同和銀行帳戶詳細(xì)資料）。

數(shù)據(jù)是通過rsync泄露的，這種常用的文件傳輸協(xié)議用于鏡像或備份大型數(shù)據(jù)集。

rsync服務(wù)器未受到限制，任何IP或用戶均可訪問，數(shù)據(jù)集可以下載到連接到rsync端口的任何rsync客戶端。

敏感數(shù)據(jù)和受影響企業(yè)的數(shù)量之多，表明了第三方和第四方供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)如何影響那些超大公司。

制造業(yè)的自動(dòng)化和數(shù)字化已經(jīng)徹底改變了這個(gè)行業(yè)，但是也給諸多行業(yè)帶來了一個(gè)新的問題，企業(yè)組織必須重視這個(gè)問題，才能在健康的數(shù)字生態(tài)系統(tǒng)中蓬勃發(fā)展。

發(fā)現(xiàn)7月1日，UpGuardCyber Risk的團(tuán)隊(duì)發(fā)現(xiàn)那臺(tái)泄露的rsync服務(wù)器，于是開始分析原委。

搞清楚這臺(tái)服務(wù)器歸誰所有后，就在7月5日開始試圖聯(lián)系LevelOne。

7月9日與LevelOne成功接上頭后，到7月10日漏洞已立即被堵住。

LevelOne對(duì)此泄露事件很重視，收到通知后立即關(guān)閉了服務(wù)器。

rsync是一種廣泛使用的用于傳輸龐大數(shù)據(jù)的實(shí)用工具，尤其是備份數(shù)據(jù)，或者將文件放在多個(gè)地方同步起來。

然而，與大多數(shù)同類工具一樣，如果不采取適當(dāng)?shù)牟襟E來限制rsync服務(wù)，它可能會(huì)被不安全地使用。

rsync安全性的詳細(xì)信息可以在我們的博文（https://www.upguard.com/articles/secure-rsync-in-the-enterprise）中找到，但總的來說，rsync實(shí)例應(yīng)通過IP地址來加以限制，那樣只有指定的客戶端才能連接，而且應(yīng)該設(shè)置用戶訪問權(quán)限，以便客戶端在接收數(shù)據(jù)集之前必須通過身份驗(yàn)證。

如果沒有這些措施，任何公眾都可以訪問rsync。

內(nèi)容泄露的信息可以大致分為這三類。

客戶數(shù)據(jù)：裝配線和工廠原理圖、保密協(xié)議、機(jī)器人配置、規(guī)格、動(dòng)畫和設(shè)計(jì)圖紙、身份證件和VPN訪問請(qǐng)求表以及客戶聯(lián)系信息。

員工數(shù)據(jù)：駕照和護(hù)照的掃描件、身份照片（可能用于身份證）、員工姓名和身份證號(hào)碼。

Level One數(shù)據(jù)：合同、發(fā)票、價(jià)格談判、工作范圍和客戶協(xié)議。

客戶數(shù)據(jù)Level One Robotics擁有一些大客戶，包括通用汽車、福特和特斯拉等知名汽車制造商。

泄露的數(shù)據(jù)包含與Level One有業(yè)務(wù)往來的100多家公司方面的信息。

Level One數(shù)據(jù)集中“customers”文件夾的屏幕截圖泄露的數(shù)據(jù)包含工廠布局和機(jī)器人產(chǎn)品的詳細(xì)CAD圖紙。

Level One數(shù)據(jù)集包含的其中一張?jiān)韴D經(jīng)編輯后的屏幕截圖除了原理圖外，還有詳細(xì)說明機(jī)器配置、規(guī)格和使用的文檔以及工作機(jī)器人的動(dòng)畫。

泄露的Level One數(shù)據(jù)中其中一個(gè)機(jī)器人動(dòng)畫文件的屏幕截圖還有客戶聯(lián)系詳細(xì)信息（包括客戶員工的姓名和職銜），表明了機(jī)器人自動(dòng)化流水線中的關(guān)系網(wǎng)。

Level One的合同工向其中一些客戶請(qǐng)求身份證件和VPN登錄信息所用的文檔也在rsync泄密事件中泄露了，這是社交工程伎倆看重的一大手段。

還在數(shù)據(jù)集中發(fā)現(xiàn)了波音的身份證件申請(qǐng)表，波音并未出現(xiàn)在Level one的客戶名單中。

最后，眾多保密協(xié)議的全文赫然在列，概述了客戶對(duì)所處理數(shù)據(jù)的隱私性和保密性抱有的期望。

特斯拉的一份保密協(xié)議表，這只是Level One數(shù)據(jù)集包含的其中一份。

員工數(shù)據(jù)泄露的數(shù)據(jù)集還包含Level One自己的一些員工的個(gè)人身份信息，包括護(hù)照、駕照及其他身份信息的掃描件。

泄露的Level One數(shù)據(jù)中包含的其中一張駕照掃描件經(jīng)編輯后的屏幕截圖Level One數(shù)據(jù)集中包含的一張護(hù)照掃描件經(jīng)編輯后的屏幕截圖此外，還有Level One的員工獲取訪問證件所需的信息，比如他們的姓名、身份證號(hào)碼和照片。

Level One數(shù)據(jù)rsync服務(wù)器上泄露的公司數(shù)據(jù)包含銷售信息，比如發(fā)票、價(jià)格和工作范圍。

并附有Level One合同工的保險(xiǎn)單。

其他文件則包含關(guān)于客戶、項(xiàng)目以及企業(yè)文件服務(wù)器上通常會(huì)有的常見業(yè)務(wù)文檔的說明。

數(shù)據(jù)集中發(fā)現(xiàn)的一份Level One銀行文檔經(jīng)編輯后的屏幕截圖還包含Level One的銀行信息，包括賬戶及銀行代碼以及SWIFT代碼。

SWIFT代碼是一種識(shí)別全球特定銀行身份的國際銀行代碼。

影響汽車制造商和普通意義上的制造商通常希望保留如何確保產(chǎn)品機(jī)密性方面的詳細(xì)信息。

工廠布局、自動(dòng)化工作和機(jī)器人規(guī)格最終決定了公司的生產(chǎn)潛力。

不法分子有可能利用這些文件中的信息，蓄意破壞或以其他方式擾亂生產(chǎn)業(yè)務(wù)；競爭對(duì)手可以利用它們獲得不公正的優(yōu)勢。

數(shù)據(jù)集里面有那么多措辭嚴(yán)厲的保密協(xié)議，這本身說明了這些合作伙伴在處理這種信息時(shí)期望的機(jī)密性有多高。

然而可能更令人不安的是涉及以數(shù)字方式和物理方式訪問許多客戶公司的文件。

雖然數(shù)據(jù)集中未發(fā)現(xiàn)明文密碼，但官方身份識(shí)別和VPN登錄信息請(qǐng)求表、LevelOne許多客戶的聯(lián)系人以及Level One員工的個(gè)人信息和照片，這些信息使得不法分子通過社交工程伎倆訪問其中一個(gè)保護(hù)相對(duì)不力的設(shè)施容易得多。

但這些只是企業(yè)層面的影響。

Level One幾個(gè)員工的個(gè)人信息也泄露了，包含護(hù)照和駕照的掃描件。

這種類型的文件絕不應(yīng)該公開，這為身份盜竊及其他欺詐活動(dòng)提供了可趁之機(jī)。

最后，發(fā)現(xiàn)泄露數(shù)據(jù)時(shí)針對(duì)rsync服務(wù)器設(shè)置的權(quán)限表明，這臺(tái)服務(wù)器是可以公開寫入的，這意味著誰都有可能篡改里面的文件，比如替換直接存款指令中的銀行帳號(hào)，或者嵌入惡意軟件。

我們過去也曾討論過，這是一大風(fēng)險(xiǎn)。

結(jié)語供應(yīng)鏈已成為企業(yè)數(shù)據(jù)隱私中最薄弱的部分。

雖然許多公司每年在網(wǎng)絡(luò)安全上花費(fèi)數(shù)百萬美元，仍然有可能因處理其數(shù)據(jù)的供應(yīng)商而泄露數(shù)據(jù)。

供應(yīng)鏈很復(fù)雜，處理公司數(shù)據(jù)集的第三方和第四方急劇增多。

所有這些供應(yīng)商都有各自的流程和系統(tǒng)來確定數(shù)據(jù)得到了多有效的保護(hù)。

企業(yè)組織及供應(yīng)商必須采用標(biāo)準(zhǔn)化的安全地創(chuàng)建和維護(hù)資產(chǎn)的部署流程，從而降低數(shù)據(jù)事件的可能性。

如果這種安全性沒有做入到流程本身當(dāng)中，總是會(huì)出現(xiàn)配置不當(dāng)，結(jié)果導(dǎo)致數(shù)據(jù)泄露。

它們還要有泄露響應(yīng)計(jì)劃，那樣果真受影響時(shí)，它們可以迅速采取補(bǔ)救措施，就像Level One在此事件中所做的那樣。

LevelOne Robotics與客戶及其他供應(yīng)商合作，機(jī)器人制造和銷售流程勢必需要這樣。

雖然這種生態(tài)系統(tǒng)有助于提高效率、擴(kuò)大規(guī)模，但是如果某一環(huán)面臨泄露，也讓整條鏈岌岌可危。

維創(chuàng)信息技術(shù)——保護(hù)核心數(shù)據(jù)，捍衛(wèi)網(wǎng)絡(luò)安全！