對於企業來說,它們不求合作伙伴送來“神助攻”,只求千萬別有“豬隊友”出現。畢竟與對手競爭還有章法可循,但“豬隊友”就像是一顆隱藏炸彈,不知道什麼時候就會爆發。結果就很明顯了,“豬隊友”對企業造成的損失遠比競爭對手要來得更為慘重。但對於企業來說,最無奈的卻是不知道“豬隊友”到底會以怎樣的方式出現。
就在近日,一個超級瘋狂的“豬隊友”出現了!來自UpGuard安全團隊的研究員克里斯維克裡在網上發現了汽車供應商Level One的不安全數據庫,100多家車企的機密數據被洩露,包括特斯拉、大眾、豐田、通用、菲亞特克萊斯勒、福特等。一時之間,此事引發了極高關注。或許,此事將引發一場“大地震”,供應商、第三方企業的能力將再度受到質疑。
100多家車企造重創,機密數據全洩露
對於特斯拉、大眾和豐田等車企來說,它們總是在竭盡全力對自家的技術信息進行保密。尤其是裝配線機械、專有機器人技術的詳細信息等,都是汽車業界最被嚴格保密的商業機密。很多技術和信息,其實都是車企的“生命線”。一旦洩露,造成的損失難以估計。
克里斯維克裡發現的不安全數據庫中有近47000份文件,涉及車企近十年的詳細藍圖、工廠原理圖、客戶材料(如合同、發票、工作計劃等)及各種保密協議文件。甚至連員工的駕駛證和護照掃描件等隱私信息,也赫然涵蓋於其中。據瞭解,整個不安全數據庫的數據總量達157GB。而克里斯維克裡還表示,通過Level One的文件傳輸協議rsync,不需要密碼就能直接訪問這個數據庫!
對此,克里斯維克裡表示,“如果你看到NDAs,你就知道你發現了一些不應公開的東西。”在確認數據庫來源後他就聯繫了Level One,隨後數據庫很快脫機,防止數據進一步洩露。不過現在還不清楚的,是有沒有其他人發現這個數據庫並下載相關數據。但不管如何,此次洩露事件無疑是極為嚴重的。100多家車企的機密信息,就這樣被一家供應商給曝光了。
供應商成“豬隊友”,洩露事件頻頻發生
這一洩露事件其實指向了當下一個非常棘手的問題:很多企業的最大安全風險來自供應商,還有與自身有業務聯繫的第三方企業。比如在2013年黑客侵入了Target的支付終端,並從4000萬客戶那裡竊取了信用卡和借記卡信息。而黑客是通過Target的一個供暖和通風承包商進入,然後使用從該業務中竊取的信息來訪問Target系統。
就在上個月,國外票務網站Ticketmaster透露最近有數千名客戶的付款信息被盜。這是因為Inbenta公司在TicketMaster網站上運行的聊天機器人軟件中,存在著漏洞。而安全研究公司 Ponemon Institute 在2017 年發起的一項調查結果表明,有 56% 的企業表示層遭遇過與供應商有關的數據洩露事件。該調查的受訪者表示,平均有 470 家外部公司可以訪問其敏感的公司信息, 2016 年可訪問企業敏感信息的外部公司平均數目大約為380家。
就連Facebook這樣的互聯網巨頭,也躲不開“豬隊友”設下的大坑。此前備受關注的 FaceBook 數據洩露事件,就是因為其被第三方企業數據處理公司劍橋分析給坑了。可以看到,供應商和第三方企業已經讓企業越來越不安。
數據安全需被提升至更高級別,改進迫在眉睫
像克里斯維克裡這樣的研究人員,經常要面對他們通知暴露數據公司的懷疑和批評。畢竟,沒有企業喜歡被告知它已經洩露了敏感信息。但是隻有這樣做,才能讓企業更加重視自身的數據安全。他表示,“就網絡安全而言,沒有什麼能在沉默中變得更好。我們需要更好的數據安全性,但除非企業意識到存在問題,否則不會發生任何改進。”
當下,供應商和第三方企業等,已成為企業數據隱私保護中最薄弱的一個關鍵節點。哪怕企業每年花費巨資用於網絡安全,也無法避免其供應商、第三方企業去洩露數據。而就發展趨勢看,隨著全球各領域合作日益密切,洩露事件只會增加不會減少。隨著越來越多第三方公司獲得企業的訪問權,企業數據洩露的風險在大幅增加。
但就目前來看,尚沒有完全可行的方法來避免此類事件的發生。因此,數據安全需要被提升至更高級別,針對性的改進已經迫在眉睫。(科技新發現 康斯坦丁/文)
閱讀更多 科技新發現 的文章
