นักวิจัยพบข้อมูลธุรกิจของ GM, Ford, Tesla, Toyota รั่วผ่านทาง rsync Server

UpGuard Cyber Risk บริษัทนักวิจัยด้าน Security ได้ออกมาเปิดเผยถึงการค้นพบเอกสารความลับทางธุรกิจของธุรกิจโรงงานและการผลิตมากกว่า 100 รายที่รั่วผ่านทาง rsync Server โดยในบรรดาบริษัทที่ข้อมูลรั่วนี้ก็มี GM, Fiat Chrysler, Ford, Tesla, Toyota, ThyssenKrupp และ VW อยู่ด้วย

 

Credit: ShutterStock.com

 

ข้อมูลที่รั่วนี้ถูกเปิดให้เข้าถึงได้ผ่าน rsync โดยไม่มีการควบคุมใดๆ ทั้งนั้น โดย Server ที่ข้อมูลรั่วในครั้งนี้เป็น Server ของ Level One Robotics ผู้ให้บริการด้าน Industrial Automation ซึ่งมีการจัดเก็บข้อมูลย้อนหลังของธุรกิจเหล่านี้เป็นเวลากว่า 10 ปี ครอบคลุมทั้งข้อมูลสายการผลิต, แผนผังโรงงาน, ข้อมูลการตั้งค่าและเอกสารประกอบการใช้งานของเครื่องจักรและหุ่นยนต์, แบบฟอร์มที่ใช้ในโรงงาน, ข้อมูลในหมวดหมู่ Non-disclosure Agreement (NDA) และอื่นๆ อีกทั้งยังมีข้อมูลของ Level One Robotics อยู่ด้วย ซึ่งข้อมูลทั้งหมดนี้มีขนาดใหญ่ถึง 157 Gigabyte เลยทีเดียว

UpGuard ค้นพบช่องโหว่นี้ในวันที่ 1 กรกฏาคม 2018 และสามารถติดต่อกับทาง Level One Robotics ได้สำเร็จในวันที่ 9 กรกฏาคม 2018 จนกระทั่งช่องทางที่ข้อมูลรั่วไหลในครั้งนี้ถูกอุดในวันถัดมา โดยไม่มีข้อมูลเปิดเผยชัดเจนว่าข้อมูลความลับของธุรกิจชื่อดังเหล่านี้ถูกผู้ประสงค์ร้ายเข้าถึงหรือไม่

เหตุการณ์ในครั้งนี้ถือเป็นกรณีศึกษาชั้นดีที่บางครั้งข้อมูลของเหล่าธุรกิจชั้นนำขนาดใหญ่นั้นก็อาจรั่วไหลผ่านทาง 3rd Party ที่ตนเองใช้บริการอยู่ได้ และ UpGuard ก็แนะนำว่าสำหรับกรณีการใช้งาน rsync ให้ปลอดภัยนั้นอย่างน้อยๆ ก็ควรจะกำหนดให้ถูกเข้าถึงได้จาก IP Address ในวงที่จำกัด รวมถึงควรจะต้องมีการตั้งค่าการยืนยันตัวตนให้ดีด้วย

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่ https://www.upguard.com/breaches/short-circuit-how-a-robotics-vendor-exposed-confidential-data-for-major-manufacturing-companies ครับ

 

ที่มา: https://techcrunch.com/2018/07/20/data-breach-level-one-automakers/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …