Hàng loạt hãng xe lớn Ford, Toyota, Tesla bị lộ tài liệu nhạy cảm

UpGuard Cyber ​​Risk - Công ty chuyên nghiên cứu về chế độ bảo mật đã khiến thế giới sốc khi công bố thông tin một lượng tài liệu quan trọng của 100 thương hiệu ô tô (trong đó có cả Ford, Toyota, Tesla, ThyssenKrupp, Fiat Chrysler và GM) đã xuất hiện công khai trên một máy chủ công cộng.

Cụ thể, Level One Robotics - công ty chuyên cung cấp dịch vụ tự động hóa công nghiệp đã bị rò rỉ dữ liệu thông qua rsync (hình thức chuyển tệp phổ biến nhằm đảm bảo việc sao lưu những tài liệu có dung lượng lớn). Hiện tại, các công ty ô tô đều dùng giao thức rsync. Đó là lý do khiến dữ liệu bị rò rỉ và thông tin này xuất hiện đầu tiên trên trang New York Times.

Ảnh chụp màn hình dữ liệu trong mục "customer" của Level One bị rò rỉ

Các nhà nghiên cứu vấn đề bảo mật cho rằng, khi thực hiện quá trình rsync, máy chủ không cài đặt hạn chế. Điều này có nghĩa tất cả các ứng dụng rsync được kết nối với cổng rsync đều cấp quyền truy cập nhằm tải dữ liệu xuống. UpGuard Cyber ​​Risk đã tiết lộ tài khoản cũng như cách công ty phát hiện việc rò rỉ dữ liệu nhằm chỉ ra cho mọi người thấy việc để lộ tài liệu mật của một công ty nằm trong chuỗi cung ứng cũng có thể tác động tiêu cực đến những công ty lớn thông qua hình thức mà chúng ta tưởng rằng an toàn tuyệt đối.

Ngoài ra, một người biết rõ phương thức tìm kiếm vẫn có thể đột nhập vào các file dữ liệu để ăn cắp những bí mật thương mại của các hãng xe. Hiện tại chưa thể điều tra những file dữ liệu trên đã lọt vào tay đối tượng nào và một hãng xe đã gửi thông báo tới TechCrunch nói rằng các dữ liệu của họ vẫn được bảo quản tốt.

Sự kiện ô tô vừa qua đã khiến 57 gigabyte dữ liệu bị tung ra, trong đó có có kho dữ liệu trong vòng 10 năm gồm sơ đồ lắp rắp, sơ đồ sàn nhà xưởng, cấu tạo rô-bốt, tài liệu, các biểu mẫu yêu cầu biểu tượng ID, các biểu mẫu yêu cầu truy cập VPN. Ngoài ra còn có một bản thỏa thuận nhạy cảm của hãng xe điện Tesla.

Bản vẽ CAD của Level One bị phơi bày

Sơ đồ lắp ráp của Level One bị rò rỉ

Một hợp đồng nhạy cảm của Tesla

Không chỉ có vậy, một hồ sơ cá nhân của nhân viên Level One Robotics cũng bị lộ gồm: giấy phép lái xe, hộ chiếu và dữ liệu tại Level One Robotics ( hóa đơn, hợp đồng và các thông tin liên quan đến tài khoản ngân hàng).

Giấy phép lái xe của nhân viên làm việc tại Leval One

Hộ chiếu của một nhân viên làm việc tại Leval One

Những thông tin về tài khoản ngân hàng

UpGuard Cyber ​​Risk đã phát hiện sự cố này vào đầu tháng 7 và tìm cách liên hệ với Level One để khóa lại thông tin bị rò rỉ.

Đồng thời, UpGuard khuyến cáo, tất cả giao thức rsync cần được quản lý bởi địa chỉ IP và người dùng nên xác thực thông tin trước khi truy cập rsync hoặc tiếp nhận nguồn dữ liệu được chuyển đến thông qua giao thức này nếu không muốn các tài liệu mật bị "tuồn" ra ngoài.

♦ Xem thêm: Ford đang đối mặt với tình trạng suy giảm lợi nhuận