Секретная документация Toyota, Ford, Volkswagen и Tesla оказалась в открытом доступе

Софт Безопасность Бизнес
мобильная версия
, Текст: Роман Георгиев

Огромный массив конфиденциальных данных лежал на незащищенном сервере производителя промышленных роботов. Возможно затронуты интересы ряда крупнейших автопроизводителей.


Роботы и их чертежи

Около 157 гигабайт конфиденциальных данных ведущих автопроизводителей в течение неопределенного времени оставались в общем доступе из-за неправильной конфигурации сервера.

Данные, обнаруженные компанией Upguard, включали схемы сборочных линий и даже САПР-чертежи производственных помещений; данные о конструкции и настройках роботов, используемых на конвейерах, а также формы на получение идентификационных документов, доступа по VPN и соглашения о неразглашении сведений.

Как выяснили эксперты Upguard, все эти данные лежали на сервере производителя промышленных роботов Level One Robotics, чья продукция используется на заводах Toyota, Ford, GM, VW, Fiat Chrysler и Tesla. Сервер был сконфигурирован таким образом, что принимал так называемые rsync-соединения с любого IP-адреса, не запрашивая никакой авторизации. Иными словами, любой обладатель rsync-клиента мог подключиться к этому серверу и получить доступ ко всему его содержимому.

haker600.jpg
Более 150 гигабайт секретных сведений автопрома лежали в общем доступе

В Upguard отметили, что на этом сервере лежали некоторые конфиденциальные сведения всех перечисленных автопроизводителей, хотя конкретные документы разнятся от фирмы к фирме.

Без комментариев

Level One Robotics отказывается давать какие-либо подробные комментарии об утечке до окончания расследования; представители компании отметили лишь, что инцидент рассматривается «со всей серьезностью». Помалкивать предпочитают пока и сами автопроизводители. Пока нет никаких однозначных данных о том, смог ли кто-то, кроме экспертов Upguard, получить доступ к этим конфиденциальным сведениям.

«Вероятность того, что посторонние видели эти данные, близка к 100%, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Обнаружение секретных документов на незащищенных сетевых ресурсах стало в последние годы почти что общим местом. Ошибки в настройках серверов и облачных хранилищ делают практически бесполезными все прочие меры предосторожности и ведут подчас к массивным убыткам для пострадавших. Вполне вероятно, что какие-то из этих данных вскоре всплывут на черном рынке».