数据泄露危机席卷汽车行业,安全挑战该如何应对?

发布时间:2018-08-04 作者:昂楷资讯

从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。


100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,机密数据统统被曝光!


1

在反复检查过程中,UpGuard安全团队的研究员Chris Vickery确认,泄露源正是供应商Level One,通过Level One的文件传输协议rsync,可以无障碍访问上述所有隐私数据。


于是7月9日,Chris Vickery联系到Level One,10日,Level One采取断网脱机的方式,暂时止住了数据库裸露。


罪魁祸首的rsync其实是一种广泛使用的应用程序,经常用于大型数据传输和备份。


rsync的特性如下:


1、支持复制特殊文件和连接文件,设备等;


2、可以有排除指定文件或目录同步的功能,相当于打包;


3、可以做到保存源文件和目录的权限,时间,软硬连接等所有属性均不改变;


4、可以实现增量同步,既只同步发生变化的数据;


5、通过rcp,rsh,ssh等方式来传输(他本身不对数据加密);


6、可以通过socket(进程方式)传输文件和数据(cs);


7、支持匿名认证的进场传输模式,可以实现方便安全的进行数据备份和镜像。



如何做到安全加固:


1、加强配置管理:隐藏 module 信息;


2、使用权限控制:对必要的权限开放,其他只读;


3、限制网络访问:通过安全ACL限制访问,前提必须对IP/MAC进行绑定;


4、启用账户认证:账户黑白名单的设置,密码强度进行控制;


5、传输加密:因考虑到rsync默认不加密,所以对于安全要求比较高的还是采用加密的传输更安全。


通常情况下,管理程序在启动 Rsync 服务后,会直接运行传输任务。如果 Rsync 服务未经过安全加固,则很容易出现未授权访问等安全问题,其直接后果是传输数据裸露在互联网上,可以被任何人访问获取,带来严重的数据泄露风险。


2

Level One CEO还表示,除了安全研究员Vickery之外,任何外部各方几乎不可能找到该入口、看到这些数据,但他并没有相关工具或手段来证明:都有谁访问过该数据库。


然而这个解释有些too young、too simple,sometimes naive。米兰-加斯科以为只有Vickery这样信息安全专家才会发现这漏洞。


但Chris Vickery也说了,通过暴露的备份服务器就能轻松找到Level One的数据,并且不需要密码或特殊访问权限,任何连接的人都可以下载这些材料。


对于谁操作了数据库无法判断的问题,我们建议通过专业的数据库安全监控系统,实时在线对核心的数据库进行监控。


通过数据库安全监控系统,发现问题实时报警,且对各种数据库的攻击行为也能做出有效预判,帮助企业做到数据的精准可视、安全可控,更好做到数据安全有效治理,让客户摆脱数据看不到,无法识别,异常操作无法定位,事后无法追溯的问题。


目前昂楷已支持各类数据库的监控,支持对Oracle、MS-SQL 、DB2、MYSQL、Sybase 、Informix、POSTGRESQL、支持Caché DB、 MongoDB、Hbase等NOSQL数据库,支持 HANA、Redis内存数据库并支持达梦、人大金仓、南大通用等国产主流数据库提供自动化评估、审计和保护功能。


返回上一级

400-622-8990