国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

重大數(shù)據(jù)泄漏事件:汽車制造產(chǎn)業(yè)上下游100多家公司數(shù)據(jù)暴露在互聯(lián)網(wǎng)上

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-09-14 瀏覽次數(shù):

UpGuard Cyber Risk 的安全隊(duì)伍現(xiàn)在透露,100多家汽車產(chǎn)業(yè)鏈上下游公司的敏感文件已泄露,這些文件放在屬于Level One Robotics的一臺(tái)服務(wù)器上,“這是一家主攻自動(dòng)化流程和裝配的工程服務(wù)提供商,面向OEM(原始設(shè)備制造商)、一級(jí)汽車供應(yīng)商以及我們的最終用戶。

”此事件中泄露數(shù)據(jù)的公司包括大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉和蒂森克虜伯等。

泄露的157GB數(shù)據(jù)包含10多年的裝配線原理圖、工廠平面圖及布局、機(jī)器人配置及說明文檔、身份證件申請(qǐng)表和VPN訪問請(qǐng)求表,另外居然還有保密協(xié)議,詳細(xì)表明了泄露信息的敏感性。

并非所有客戶的所有類型的信息已被發(fā)現(xiàn),但每個(gè)客戶都包含這些類型的一些數(shù)據(jù)。

另外還包含一些Level One員工的個(gè)人詳細(xì)信息(包括駕照和護(hù)照的掃描件)以及Level One的商業(yè)數(shù)據(jù)(包括發(fā)票、合同和銀行帳戶詳細(xì)資料)。

數(shù)據(jù)是通過rsync泄露的,這種常用的文件傳輸協(xié)議用于鏡像或備份大型數(shù)據(jù)集。

rsync服務(wù)器未受到限制,任何IP或用戶均可訪問,數(shù)據(jù)集可以下載到連接到rsync端口的任何rsync客戶端。

敏感數(shù)據(jù)和受影響企業(yè)的數(shù)量之多,表明了第三方和第四方供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)如何影響那些超大公司。

制造業(yè)的自動(dòng)化和數(shù)字化已經(jīng)徹底改變了這個(gè)行業(yè),但是也給諸多行業(yè)帶來了一個(gè)新的問題,企業(yè)組織必須重視這個(gè)問題,才能在健康的數(shù)字生態(tài)系統(tǒng)中蓬勃發(fā)展。

發(fā)現(xiàn)7月1日,UpGuardCyber Risk的團(tuán)隊(duì)發(fā)現(xiàn)那臺(tái)泄露的rsync服務(wù)器,于是開始分析原委。

搞清楚這臺(tái)服務(wù)器歸誰所有后,就在7月5日開始試圖聯(lián)系LevelOne。

7月9日與LevelOne成功接上頭后,到7月10日漏洞已立即被堵住。

LevelOne對(duì)此泄露事件很重視,收到通知后立即關(guān)閉了服務(wù)器。

rsync是一種廣泛使用的用于傳輸龐大數(shù)據(jù)的實(shí)用工具,尤其是備份數(shù)據(jù),或者將文件放在多個(gè)地方同步起來。

然而,與大多數(shù)同類工具一樣,如果不采取適當(dāng)?shù)牟襟E來限制rsync服務(wù),它可能會(huì)被不安全地使用。

rsync安全性的詳細(xì)信息可以在我們的博文(https://www.upguard.com/articles/secure-rsync-in-the-enterprise)中找到,但總的來說,rsync實(shí)例應(yīng)通過IP地址來加以限制,那樣只有指定的客戶端才能連接,而且應(yīng)該設(shè)置用戶訪問權(quán)限,以便客戶端在接收數(shù)據(jù)集之前必須通過身份驗(yàn)證。

如果沒有這些措施,任何公眾都可以訪問rsync。

內(nèi)容泄露的信息可以大致分為這三類。

客戶數(shù)據(jù):裝配線和工廠原理圖、保密協(xié)議、機(jī)器人配置、規(guī)格、動(dòng)畫和設(shè)計(jì)圖紙、身份證件和VPN訪問請(qǐng)求表以及客戶聯(lián)系信息。

員工數(shù)據(jù):駕照和護(hù)照的掃描件、身份照片(可能用于身份證)、員工姓名和身份證號(hào)碼。

Level One數(shù)據(jù):合同、發(fā)票、價(jià)格談判、工作范圍和客戶協(xié)議。

客戶數(shù)據(jù)Level One Robotics擁有一些大客戶,包括通用汽車、福特和特斯拉等知名汽車制造商。

泄露的數(shù)據(jù)包含與Level One有業(yè)務(wù)往來的100多家公司方面的信息。

Level One數(shù)據(jù)集中“customers”文件夾的屏幕截圖泄露的數(shù)據(jù)包含工廠布局和機(jī)器人產(chǎn)品的詳細(xì)CAD圖紙。

Level One數(shù)據(jù)集包含的其中一張?jiān)韴D經(jīng)編輯后的屏幕截圖除了原理圖外,還有詳細(xì)說明機(jī)器配置、規(guī)格和使用的文檔以及工作機(jī)器人的動(dòng)畫。

泄露的Level One數(shù)據(jù)中其中一個(gè)機(jī)器人動(dòng)畫文件的屏幕截圖還有客戶聯(lián)系詳細(xì)信息(包括客戶員工的姓名和職銜),表明了機(jī)器人自動(dòng)化流水線中的關(guān)系網(wǎng)。

Level One的合同工向其中一些客戶請(qǐng)求身份證件和VPN登錄信息所用的文檔也在rsync泄密事件中泄露了,這是社交工程伎倆看重的一大手段。

還在數(shù)據(jù)集中發(fā)現(xiàn)了波音的身份證件申請(qǐng)表,波音并未出現(xiàn)在Level one的客戶名單中。

最后,眾多保密協(xié)議的全文赫然在列,概述了客戶對(duì)所處理數(shù)據(jù)的隱私性和保密性抱有的期望。

特斯拉的一份保密協(xié)議表,這只是Level One數(shù)據(jù)集包含的其中一份。

員工數(shù)據(jù)泄露的數(shù)據(jù)集還包含Level One自己的一些員工的個(gè)人身份信息,包括護(hù)照、駕照及其他身份信息的掃描件。

泄露的Level One數(shù)據(jù)中包含的其中一張駕照掃描件經(jīng)編輯后的屏幕截圖Level One數(shù)據(jù)集中包含的一張護(hù)照掃描件經(jīng)編輯后的屏幕截圖此外,還有Level One的員工獲取訪問證件所需的信息,比如他們的姓名、身份證號(hào)碼和照片。

Level One數(shù)據(jù)rsync服務(wù)器上泄露的公司數(shù)據(jù)包含銷售信息,比如發(fā)票、價(jià)格和工作范圍。

并附有Level One合同工的保險(xiǎn)單。

其他文件則包含關(guān)于客戶、項(xiàng)目以及企業(yè)文件服務(wù)器上通常會(huì)有的常見業(yè)務(wù)文檔的說明。

數(shù)據(jù)集中發(fā)現(xiàn)的一份Level One銀行文檔經(jīng)編輯后的屏幕截圖還包含Level One的銀行信息,包括賬戶及銀行代碼以及SWIFT代碼。

SWIFT代碼是一種識(shí)別全球特定銀行身份的國際銀行代碼。

影響汽車制造商和普通意義上的制造商通常希望保留如何確保產(chǎn)品機(jī)密性方面的詳細(xì)信息。

工廠布局、自動(dòng)化工作和機(jī)器人規(guī)格最終決定了公司的生產(chǎn)潛力。

不法分子有可能利用這些文件中的信息,蓄意破壞或以其他方式擾亂生產(chǎn)業(yè)務(wù);競爭對(duì)手可以利用它們獲得不公正的優(yōu)勢。

數(shù)據(jù)集里面有那么多措辭嚴(yán)厲的保密協(xié)議,這本身說明了這些合作伙伴在處理這種信息時(shí)期望的機(jī)密性有多高。

然而可能更令人不安的是涉及以數(shù)字方式和物理方式訪問許多客戶公司的文件。

雖然數(shù)據(jù)集中未發(fā)現(xiàn)明文密碼,但官方身份識(shí)別和VPN登錄信息請(qǐng)求表、LevelOne許多客戶的聯(lián)系人以及Level One員工的個(gè)人信息和照片,這些信息使得不法分子通過社交工程伎倆訪問其中一個(gè)保護(hù)相對(duì)不力的設(shè)施容易得多。

但這些只是企業(yè)層面的影響。

Level One幾個(gè)員工的個(gè)人信息也泄露了,包含護(hù)照和駕照的掃描件。

這種類型的文件絕不應(yīng)該公開,這為身份盜竊及其他欺詐活動(dòng)提供了可趁之機(jī)。

最后,發(fā)現(xiàn)泄露數(shù)據(jù)時(shí)針對(duì)rsync服務(wù)器設(shè)置的權(quán)限表明,這臺(tái)服務(wù)器是可以公開寫入的,這意味著誰都有可能篡改里面的文件,比如替換直接存款指令中的銀行帳號(hào),或者嵌入惡意軟件。

我們過去也曾討論過,這是一大風(fēng)險(xiǎn)。

結(jié)語供應(yīng)鏈已成為企業(yè)數(shù)據(jù)隱私中最薄弱的部分。

雖然許多公司每年在網(wǎng)絡(luò)安全上花費(fèi)數(shù)百萬美元,仍然有可能因處理其數(shù)據(jù)的供應(yīng)商而泄露數(shù)據(jù)。

供應(yīng)鏈很復(fù)雜,處理公司數(shù)據(jù)集的第三方和第四方急劇增多。

所有這些供應(yīng)商都有各自的流程和系統(tǒng)來確定數(shù)據(jù)得到了多有效的保護(hù)。

企業(yè)組織及供應(yīng)商必須采用標(biāo)準(zhǔn)化的安全地創(chuàng)建和維護(hù)資產(chǎn)的部署流程,從而降低數(shù)據(jù)事件的可能性。

如果這種安全性沒有做入到流程本身當(dāng)中,總是會(huì)出現(xiàn)配置不當(dāng),結(jié)果導(dǎo)致數(shù)據(jù)泄露。

它們還要有泄露響應(yīng)計(jì)劃,那樣果真受影響時(shí),它們可以迅速采取補(bǔ)救措施,就像Level One在此事件中所做的那樣。

LevelOne Robotics與客戶及其他供應(yīng)商合作,機(jī)器人制造和銷售流程勢必需要這樣。

雖然這種生態(tài)系統(tǒng)有助于提高效率、擴(kuò)大規(guī)模,但是如果某一環(huán)面臨泄露,也讓整條鏈岌岌可危。

維創(chuàng)信息技術(shù)——保護(hù)核心數(shù)據(jù),捍衛(wèi)網(wǎng)絡(luò)安全!


  • 上一篇:解決數(shù)據(jù)泄密問題 防止企業(yè)成“同犯”
  • 下一篇:信息系統(tǒng)安全三級(jí)等保受關(guān)注 P2P行業(yè)不到10%平臺(tái)持有
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號(hào)

    主站蜘蛛池模板: 欧美人兽一区 | 国产中文字幕 | 日韩综合色 | 国产伦精品一区二区三区免费 | 亚洲一级婬片 | 欧美国产国产综合视频 | 国产熟女高潮视频 | 国产综合激情在线亚洲第一页 | 午夜无码啪啪精品一区二区三 | 国产视频中文字幕 | 色狠狠av一区二区三区 | 九九九久久久永久免费 | 国产麻豆精品久久传媒 | 日韩种子 | 18禁超污无遮挡无码免费网站国产 | 久久99精品久久久久久hb亚瑟 | 欧美日韩亚洲成人v | 成人毛片100免费观看 | 97精品伊人久久大香线蕉 | 亚洲欧美丝袜 | 桃花在线观看视频播放 | 国产精品成av人在线观看片 | 欧美日韩国产欧美 | 欧美在线视频一区二区三区 | 国产精品欧美一区二区三区 | 久久精品亚洲一区二区三区浴 | 国产精品边做奶水狂喷无码 | 人人干人人摸人人操 | 亚洲视频网站在线观看 | 手机视频免费在线观看 | 国产老熟女不卡精品老熟女 | 久久发布国产伦子伦精品 | 精品美女一级在线观看 | 久久刺激 | 色老板一区二区三区不卡视频 | 精品一区二区三区视频 | 亚洲精品无码专区 | 久久成人 | 精品一区二区国产在线观看 | 国产一区二区视频在线关看 | 91精品国产高清久久福利 |