UpGuard Cyber Risk 的安全隊伍現在透露，100多家汽車產業鏈上下游公司的敏感文件已泄露，這些文件放在屬于Level One Robotics的一臺服務器上，“這是一家主攻自動化流程和裝配的工程服務提供商，面向OEM（原始設備制造商）、一級汽車供應商以及我們的最終用戶。

”此事件中泄露數據的公司包括大眾、克萊斯勒、福特、豐田、通用汽車、特斯拉和蒂森克虜伯等。

泄露的157GB數據包含10多年的裝配線原理圖、工廠平面圖及布局、機器人配置及說明文檔、身份證件申請表和VPN訪問請求表，另外居然還有保密協議，詳細表明了泄露信息的敏感性。

并非所有客戶的所有類型的信息已被發現，但每個客戶都包含這些類型的一些數據。

另外還包含一些Level One員工的個人詳細信息（包括駕照和護照的掃描件）以及Level One的商業數據（包括發票、合同和銀行帳戶詳細資料）。

數據是通過rsync泄露的，這種常用的文件傳輸協議用于鏡像或備份大型數據集。

rsync服務器未受到限制，任何IP或用戶均可訪問，數據集可以下載到連接到rsync端口的任何rsync客戶端。

敏感數據和受影響企業的數量之多，表明了第三方和第四方供應鏈網絡風險如何影響那些超大公司。

制造業的自動化和數字化已經徹底改變了這個行業，但是也給諸多行業帶來了一個新的問題，企業組織必須重視這個問題，才能在健康的數字生態系統中蓬勃發展。

發現7月1日，UpGuardCyber Risk的團隊發現那臺泄露的rsync服務器，于是開始分析原委。

搞清楚這臺服務器歸誰所有后，就在7月5日開始試圖聯系LevelOne。

7月9日與LevelOne成功接上頭后，到7月10日漏洞已立即被堵住。

LevelOne對此泄露事件很重視，收到通知后立即關閉了服務器。

rsync是一種廣泛使用的用于傳輸龐大數據的實用工具，尤其是備份數據，或者將文件放在多個地方同步起來。

然而，與大多數同類工具一樣，如果不采取適當的步驟來限制rsync服務，它可能會被不安全地使用。

rsync安全性的詳細信息可以在我們的博文（https://www.upguard.com/articles/secure-rsync-in-the-enterprise）中找到，但總的來說，rsync實例應通過IP地址來加以限制，那樣只有指定的客戶端才能連接，而且應該設置用戶訪問權限，以便客戶端在接收數據集之前必須通過身份驗證。

如果沒有這些措施，任何公眾都可以訪問rsync。

內容泄露的信息可以大致分為這三類。

客戶數據：裝配線和工廠原理圖、保密協議、機器人配置、規格、動畫和設計圖紙、身份證件和VPN訪問請求表以及客戶聯系信息。

員工數據：駕照和護照的掃描件、身份照片（可能用于身份證）、員工姓名和身份證號碼。

Level One數據：合同、發票、價格談判、工作范圍和客戶協議。

客戶數據Level One Robotics擁有一些大客戶，包括通用汽車、福特和特斯拉等知名汽車制造商。

泄露的數據包含與Level One有業務往來的100多家公司方面的信息。

Level One數據集中“customers”文件夾的屏幕截圖泄露的數據包含工廠布局和機器人產品的詳細CAD圖紙。

Level One數據集包含的其中一張原理圖經編輯后的屏幕截圖除了原理圖外，還有詳細說明機器配置、規格和使用的文檔以及工作機器人的動畫。

泄露的Level One數據中其中一個機器人動畫文件的屏幕截圖還有客戶聯系詳細信息（包括客戶員工的姓名和職銜），表明了機器人自動化流水線中的關系網。

Level One的合同工向其中一些客戶請求身份證件和VPN登錄信息所用的文檔也在rsync泄密事件中泄露了，這是社交工程伎倆看重的一大手段。

還在數據集中發現了波音的身份證件申請表，波音并未出現在Level one的客戶名單中。

最后，眾多保密協議的全文赫然在列，概述了客戶對所處理數據的隱私性和保密性抱有的期望。

特斯拉的一份保密協議表，這只是Level One數據集包含的其中一份。

員工數據泄露的數據集還包含Level One自己的一些員工的個人身份信息，包括護照、駕照及其他身份信息的掃描件。

泄露的Level One數據中包含的其中一張駕照掃描件經編輯后的屏幕截圖Level One數據集中包含的一張護照掃描件經編輯后的屏幕截圖此外，還有Level One的員工獲取訪問證件所需的信息，比如他們的姓名、身份證號碼和照片。

Level One數據rsync服務器上泄露的公司數據包含銷售信息，比如發票、價格和工作范圍。

并附有Level One合同工的保險單。

其他文件則包含關于客戶、項目以及企業文件服務器上通常會有的常見業務文檔的說明。

數據集中發現的一份Level One銀行文檔經編輯后的屏幕截圖還包含Level One的銀行信息，包括賬戶及銀行代碼以及SWIFT代碼。

SWIFT代碼是一種識別全球特定銀行身份的國際銀行代碼。

影響汽車制造商和普通意義上的制造商通常希望保留如何確保產品機密性方面的詳細信息。

工廠布局、自動化工作和機器人規格最終決定了公司的生產潛力。

不法分子有可能利用這些文件中的信息，蓄意破壞或以其他方式擾亂生產業務；競爭對手可以利用它們獲得不公正的優勢。

數據集里面有那么多措辭嚴厲的保密協議，這本身說明了這些合作伙伴在處理這種信息時期望的機密性有多高。

然而可能更令人不安的是涉及以數字方式和物理方式訪問許多客戶公司的文件。

雖然數據集中未發現明文密碼，但官方身份識別和VPN登錄信息請求表、LevelOne許多客戶的聯系人以及Level One員工的個人信息和照片，這些信息使得不法分子通過社交工程伎倆訪問其中一個保護相對不力的設施容易得多。

但這些只是企業層面的影響。

Level One幾個員工的個人信息也泄露了，包含護照和駕照的掃描件。

這種類型的文件絕不應該公開，這為身份盜竊及其他欺詐活動提供了可趁之機。

最后，發現泄露數據時針對rsync服務器設置的權限表明，這臺服務器是可以公開寫入的，這意味著誰都有可能篡改里面的文件，比如替換直接存款指令中的銀行帳號，或者嵌入惡意軟件。

我們過去也曾討論過，這是一大風險。

結語供應鏈已成為企業數據隱私中最薄弱的部分。

雖然許多公司每年在網絡安全上花費數百萬美元，仍然有可能因處理其數據的供應商而泄露數據。

供應鏈很復雜，處理公司數據集的第三方和第四方急劇增多。

所有這些供應商都有各自的流程和系統來確定數據得到了多有效的保護。

企業組織及供應商必須采用標準化的安全地創建和維護資產的部署流程，從而降低數據事件的可能性。

如果這種安全性沒有做入到流程本身當中，總是會出現配置不當，結果導致數據泄露。

它們還要有泄露響應計劃，那樣果真受影響時，它們可以迅速采取補救措施，就像Level One在此事件中所做的那樣。

LevelOne Robotics與客戶及其他供應商合作，機器人制造和銷售流程勢必需要這樣。

雖然這種生態系統有助于提高效率、擴大規模，但是如果某一環面臨泄露，也讓整條鏈岌岌可危。

維創信息技術——保護核心數據，捍衛網絡安全！