Home  >  Segurança

Falha em servidor expõe dados da Tesla, GM, Toyota e outras montadoras

Equipamento utilizado é da empresa canadense Level One Robotics and Controls

CSO (EUA)

25/07/2018 às 15h06

fábrica Fiat
Foto: Shutterstock

Legenda: fábrica Fiat

Um pesquisador de segurança descobriu que 157 GB de dados altamente confidenciais de mais de 100 empresas, incluindo montadoras como Ford, GM, Tesla, Toyota, Chrysler, Fiat e Volkswagen, foram expostos. Os dados armazenados no servidor de backup exposto publicamente pertencente à empresa canadense Level One Robotics and Controls não exigiam sequer uma senha para o acesso.

O pesquisador de segurança da UpGuard, Chris Vickery, que descobriu os dados não seguros, classificou os dados expostos em três categorias: cliente, funcionário e dados de Nível Um. Os dados publicamente acessíveis incluíam quase 47 mil arquivos com dez anos de esquemas de linhas de montagem, plantas e layouts de fábrica, bem como configurações robóticas, animações e documentação.

A violação também incluiu formulários de solicitação de acesso VPN, NDAs, formulários de solicitação de crachá de identificação e varreduras de carteiras de motorista e passaportes de alguns funcionários de Nível Um, o que seria útil para engenharia social, fraude e roubo de identidade. Dados de Nível Um de negócios, desde contratos até números de conta e roteamento, e até códigos internacionais de bancos SWIFT também foram expostos.

Protocolo de transferência de arquivos rsync

Os segredos comerciais não protegidos e documentos corporativos foram expostos por meio do protocolo de transferência de arquivos rsync. A UpGuard esclareceu o caso: “O servidor rsync não era restrito por IP ou usuário, e o conjunto de dados era baixado para qualquer cliente rsync que estivesse conectado à porta rsync. A grande quantidade de dados confidenciais e o número de empresas afetadas ilustram como o risco cibernético da cadeia de fornecedores de terceiros podem afetar até mesmo as maiores empresas. A automação e a digitalização da manufatura transformaram a indústria, mas também criaram uma nova área de preocupação, que deve ser levada a sério para que as organizações prosperem em um ecossistema digital saudável”.

A pessoa não somente poderia se conectar ao servidor rsync da Level One, mas os arquivos também eram "publicamente gravável, o que significa que alguém poderia ter alterado os documentos, por exemplo, substituindo números de contas bancárias em instruções de depósito direto ou incorporando malware".

O diretor executivo da companhia, Milan Gasko, disse ao jornal New York Times que é "extremamente improvável" que alguém além de Vickery tenha visto os dados, mas se recusou a comentar se foram implementadas ferramentas para detectar o acesso não autorizado.

Deixe uma resposta