Секретная документация Toyota, Ford, Volkswagen и Tesla оказалась в открытом доступе
Огромный массив конфиденциальных данных лежал на незащищенном сервере производителя промышленных роботов. Возможно затронуты интересы ряда крупнейших автопроизводителей.
Роботы и их чертежи
Около 157 гигабайт конфиденциальных данных ведущих автопроизводителей в течение неопределенного времени оставались в общем доступе из-за неправильной конфигурации сервера.
Данные, обнаруженные компанией Upguard, включали схемы сборочных линий и даже САПР-чертежи производственных помещений; данные о конструкции и настройках роботов, используемых на конвейерах, а также формы на получение идентификационных документов, доступа по VPN и соглашения о неразглашении сведений.
Как выяснили эксперты Upguard, все эти данные лежали на сервере производителя промышленных роботов Level One Robotics, чья продукция используется на заводах Toyota, Ford, GM, VW, Fiat Chrysler и Tesla. Сервер был сконфигурирован таким образом, что принимал так называемые rsync-соединения с любого IP-адреса, не запрашивая никакой авторизации. Иными словами, любой обладатель rsync-клиента мог подключиться к этому серверу и получить доступ ко всему его содержимому.
В Upguard отметили, что на этом сервере лежали некоторые конфиденциальные сведения всех перечисленных автопроизводителей, хотя конкретные документы разнятся от фирмы к фирме.
Без комментариев
Level One Robotics отказывается давать какие-либо подробные комментарии об утечке до окончания расследования; представители компании отметили лишь, что инцидент рассматривается «со всей серьезностью». Помалкивать предпочитают пока и сами автопроизводители. Пока нет никаких однозначных данных о том, смог ли кто-то, кроме экспертов Upguard, получить доступ к этим конфиденциальным сведениям.
«Вероятность того, что посторонние видели эти данные, близка к 100%, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Обнаружение секретных документов на незащищенных сетевых ресурсах стало в последние годы почти что общим местом. Ошибки в настройках серверов и облачных хранилищ делают практически бесполезными все прочие меры предосторожности и ведут подчас к массивным убыткам для пострадавших. Вполне вероятно, что какие-то из этих данных вскоре всплывут на черном рынке».