Top menu

Поставщик робототехники выставил в открытый доступ конфиденциальные данные Тойота, Тесла, GM, Форд, VW и многих других

Поставщик робототехники выставил в открытый доступ конфиденциальные данные Тойота, Тесла, GM, Форд, VW и многих других Чувствительные документы более чем 100 компаний-производителей были выставлены на общедоступном сервере, принадлежащем Level One Robotics, канадскому производителю промышленных роботов, специализирующемся на процессе автоматизации и сборки. Среди компаний, чьи данные были обнаружены - VW, Chrysler, Ford, Toyota, GM, Tesla и ThyssenKrupp.

Утечка произошла через rsync, общий протокол передачи файлов, используемый для зеркалирования или резервного копирования больших наборов данных. Доступ к серверу rsync не был ограничен по IP-адресам или по пользователям, и набор данных был доступен для загрузки любому клиенту rsync, который подключался к этому серверу по соответствующему порту.

Анализ прав доступа, установленных на сервере rsync, показал, что сервер был публично доступен для записи, а это означает, что кто-угодно мог изменять документы.

157 гигабайт данных включают в себя информацию за промежуток времени более чем 10 лет. Схемы сборочных линий, планы и макеты заводских помещений, конфигурации роботов, документация, формы запроса пропусков, формы запроса доступа к VPN и, как это ни парадоксально, соглашения о неразглашении. Кроме того, пострадали персональные данные некоторых сотрудников Level One Robotics (сканированные копии водительских прав и паспортов), а также данные самой Level One Robotics (счета-фактуры, контракты и данные банковских счетов).

Обнаруженная информация может быть разбита на три категории.

  • Данные клиента - сборочные линии и заводские схемы; соглашения о неразглашении; конфигурации роботов, спецификации, анимации и чертежи; пропуска и формы запроса доступа к VPN; контактная информация клиента.
  • Данные сотрудников - водительские права и паспорта, фотографии (вероятно, для удостоверений); имена сотрудников и идентификационные номера.
  • Данные компании - Контракты, счета-фактуры, данные по переговорам о ценах и объемам работ, соглашения с клиентом.

У Level One Robotics есть несколько крупных клиентов, в том числе крупные автопроизводители, такие как GM, Ford, Tesla и другие. Раскрытые данные включают информацию о более чем сотне различных компаний, которые взаимодействуют с Level One Robotics.

Среди данных попадаются чертежи САПР.

В дополнение к схемам представлены документы, в которых подробно описываются конфигурации, спецификации и использование машин, а также анимация работы роботов.

Также присутствовали контактные данные клиентов, включая имена сотрудников.

Наконец, представлен полный текст десятков соглашений о неразглашении информации, в которых излагаются ожидания клиентов в отношении конфиденциальности обрабатываемых данных.

Открытый набор данных также содержал персональную информацию для некоторых сотрудников Level One Robotics, включая сканированные копии паспортов, водительских прав и другую идентификационную информацию.

Rsync - широко используемая утилита для резервного копирования и синхронизации файлов. Однако, как и большинство инструментов такого рода, его можно использовать небезопасно. Не так давно персональные данные более миллиона человек, запрашивавших информацию о высшем образовании, оказались в открытом доступе из-за неправильно настроенной утилиты резервного копирования rsync. А чуть ранее неправильно настроенное резервное копирование привело к утечке данных 42 тыс. пациентов из ИТ-системы медицинской практики Cohen Bergman Klepper Romano Mds PC (Хантингтон, Нью-Йорк), специализирующейся на сердечно-сосудистых заболеваниях.

Автор: Владимир Безмалый