查看原文
其他

供应商承包商成汽车厂商软肋 福特通用丰田等商业机密遭泄露

Stacy Cowley 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

技术信息对于汽车厂商的重要性不言而喻。装配线机器以及专有机器人更是厂商保守最为严格的商业机密。然而,安全研究员 Chris Vickery 刚刚发现了一个令人吃惊的事实。

著名汽车厂商的机密文档遭泄露

全球几乎所有大型汽车厂商的成千上万份敏感企业文档被暴露,其中包括和加拿大的一家小公司 Level One Robotics and Controls (以下简称 “LevelOne”)有往来的百余家汽车厂商的相关资料。

被泄露的文档包括详细的蓝图和工厂原理图;客户材料如合同、发票和工作计划;甚至还有说明被暴露信息敏感程度的数十个相互保密协议。

目前尚不清楚除了 Vickery 和 Level One 员工以外,是否还有人看到或下载这些未经保护的敏感信息。这些信息中还包括 Level One 员工的一些个人数据如驾照和护照的扫描件,不过除此以外均为企业机密。

Vickey 上上周将此事告知 Level One 公司,后者在一天内将资料拿下。

供应商承包商成“蚁穴”

这件事说明了企业遇到的一个问题是,某些最大的安全风险源自供应商和承包商。近期发生的很多数据泄露事件始于供应商的错误。2013年,黑客渗透至塔吉特 (Target) 支付终端并盗取4000万消费者的信用卡和储蓄卡信息。黑客首先攻击塔吉特的一家供暖和通风承包商,然后使用被盗信息获得对塔吉特系统的访问权限。

上个月,Ticketmaster 披露称数千名消费者的支付信息遭暴露,而黑客利用的是为该公司网站提供客户支持和聊天机器人服务的公司 Inbenta 所使用软件中的一个漏洞。

安全研究公司 Ponemon Institute 在去年发布调查结果表示,56%的受调查企业表示曾遭受因供应商而引发的数据泄露事件。随着越来越多的第三方企业获得访问权限,这个数字只增不减:受访者表示平均由470家外部企业能访问敏感的企业信息,而之前这个数字为380家左右。

汽车信息分享和分析中心的执行主管 Faye Francy 表示,汽车行业的供应链深入复杂,人们对第三方带来的安全风险的担忧不断加深。通常而言,汽车厂商首要的安全任务是汽车风险如可导致汽车关键组件遭攻击的漏洞等。被泄露的企业文档不那么让人焦虑,因为任何厂商不会因此而破产,但仍然令人担忧;毕竟关于如何制造的资料是各家专有的且充满竞争性。

被泄信息极易遭访问

Vickery 是通过一个被暴露的备份服务器发现 Level One 的数据遭泄露。他表示无需密码或特殊访问权限即可访问这些信息。只需联网,任何人即可下载大小至少为157 G 且包含多家企业(包括克莱斯勒、福特、通用汽车、特斯拉、丰田和大众)的出厂记录和图表的近4.7 万份文件。

目前,Level One 公司的首席执行官拒绝讨论被盗信息的具体详情但表示数据遭除 Vickery 之外的人访问。另外他并未就 Level One 是否已配备检测越权访问的工具。

通用汽车、丰田和大众拒绝就数据披露做出任何评论。克莱斯特、福特和特斯拉并未就评论请求做出响应。

Level One 公司于2000年成立于安大略省温莎市,6年后在底特律以外的地方开设了一个美国办事处。从网站来看,公司为制造商提供专注于机器人和自动化的工程服务。

 


关联阅读

一辆恶意汽车即可堵塞美国“智能”街道交叉口

自动驾驶汽车变革的不仅仅是情报部门的游戏规则


原文链接

https://www.nytimes.com/2018/07/20/business/suppliers-data-leak-automakers.html



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存