特斯拉、大众…100多家车企机密泄露供应商成“猪队友”引深思

对于企业来说,它们不求合作伙伴送来“神助攻”,只求千万别有“猪队友”出现。毕竟与对手竞争还有章法可循,但“猪队友”就像是一颗隐藏炸弹,不知道什么时候就会爆发。结果就很明显了,“猪队友”对企业造成的损失远比竞争对手要来得更为惨重。但对于企业来说,最无奈的却是不知道“猪队友”到底会以怎样的方式出现。

就在近日,一个超级疯狂的“猪队友”出现了!来自UpGuard安全团队的研究员克里斯维克里在网上发现了汽车供应商Level One的不安全数据库,100多家车企的机密数据被泄露,包括特斯拉、大众、丰田、通用、菲亚特克莱斯勒、福特等。一时之间,此事引发了极高关注。或许,此事将引发一场“大地震”,供应商、第三方企业的能力将再度受到质疑。

100多家车企造重创,机密数据全泄露

对于特斯拉、大众和丰田等车企来说,它们总是在竭尽全力对自家的技术信息进行保密。尤其是装配线机械、专有机器人技术的详细信息等,都是汽车业界最被严格保密的商业机密。很多技术和信息,其实都是车企的“生命线”。一旦泄露,造成的损失难以估计。

克里斯维克里发现的不安全数据库中有近47000份文件,涉及车企近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等)及各种保密协议文件。甚至连员工的驾驶证和护照扫描件等隐私信息,也赫然涵盖于其中。据了解,整个不安全数据库的数据总量达157GB。而克里斯维克里还表示,通过Level One的文件传输协议rsync,不需要密码就能直接访问这个数据库!

对此,克里斯维克里表示,“如果你看到NDAs,你就知道你发现了一些不应公开的东西。”在确认数据库来源后他就联系了Level One,随后数据库很快脱机,防止数据进一步泄露。不过现在还不清楚的,是有没有其他人发现这个数据库并下载相关数据。但不管如何,此次泄露事件无疑是极为严重的。100多家车企的机密信息,就这样被一家供应商给曝光了。

供应商成“猪队友”,泄露事件频频发生

这一泄露事件其实指向了当下一个非常棘手的问题:很多企业的最大安全风险来自供应商,还有与自身有业务联系的第三方企业。比如在2013年黑客侵入了Target的支付终端,并从4000万客户那里窃取了信用卡和借记卡信息。而黑客是通过Target的一个供暖和通风承包商进入,然后使用从该业务中窃取的信息来访问Target系统。

就在上个月,国外票务网站Ticketmaster透露最近有数千名客户的付款信息被盗。这是因为Inbenta公司在TicketMaster网站上运行的聊天机器人软件中,存在着漏洞。而安全研究公司 Ponemon Institute 在2017 年发起的一项调查结果表明,有 56% 的企业表示层遭遇过与供应商有关的数据泄露事件。该调查的受访者表示,平均有 470 家外部公司可以访问其敏感的公司信息, 2016 年可访问企业敏感信息的外部公司平均数目大约为380家。

就连Facebook这样的互联网巨头,也躲不开“猪队友”设下的大坑。此前备受关注的 FaceBook 数据泄露事件,就是因为其被第三方企业数据处理公司剑桥分析给坑了。可以看到,供应商和第三方企业已经让企业越来越不安。

数据安全需被提升至更高级别,改进迫在眉睫

像克里斯维克里这样的研究人员,经常要面对他们通知暴露数据公司的怀疑和批评。毕竟,没有企业喜欢被告知它已经泄露了敏感信息。但是只有这样做,才能让企业更加重视自身的数据安全。他表示,“就网络安全而言,没有什么能在沉默中变得更好。我们需要更好的数据安全性,但除非企业意识到存在问题,否则不会发生任何改进。”

当下,供应商和第三方企业等,已成为企业数据隐私保护中最薄弱的一个关键节点。哪怕企业每年花费巨资用于网络安全,也无法避免其供应商、第三方企业去泄露数据。而就发展趋势看,随着全球各领域合作日益密切,泄露事件只会增加不会减少。随着越来越多第三方公司获得企业的访问权,企业数据泄露的风险在大幅增加。

但就目前来看,尚没有完全可行的方法来避免此类事件的发生。因此,数据安全需要被提升至更高级别,针对性的改进已经迫在眉睫。(科技新发现 康斯坦丁/文)