El investigador de seguridad UpGuard Cyber ​​Risk reveló el viernes que documentos confidenciales de más de 100 compañías de fabricación, incluidos GM, Fiat Chrysler, Ford, Tesla, Toyota, ThyssenKrupp y VW, fueron expuestos en un servidor de acceso público perteneciente a Level One Robotics.

La exposición a través de Level One Robotics, que brinda servicios de automatización industrial, vino a través de rsync, un protocolo común de transferencia de archivos que se usa para respaldar grandes conjuntos de datos, de acuerdo con UpGuard Cyber ​​Risk. La brecha de datos fue reportada por primera vez por el New York Times.

Según los investigadores de seguridad, las restricciones no se colocaron en el servidor rsync. Esto significa que cualquier cliente rsync que esté conectado al puerto rsync tenía acceso para descargar esta información. UpGuard Cyber ​​Risk publicó su cuenta de cómo descubrió la brecha de datos para mostrar cómo una empresa dentro de una cadena de suministro puede afectar a grandes compañías con protocolos de seguridad aparentemente estrictos.

Esto significa que si alguien supiera dónde buscar, podría acceder a secretos comerciales estrechamente protegidos por los fabricantes de automóviles. No está claro si algún actor nefasto realmente tiene en sus manos los datos. Al menos una fuente de un fabricante de automóviles afectado le dijo a TechCrunch que no parece que los datos confidenciales o de propiedad hayan sido expuestos.

El gran paso adelante de UpGuard en todo esto: las instancias de rsync deberían estar restringidas por la dirección IP. Los investigadores también sugieren que el acceso de los usuarios a rsync se configure para que los clientes tengan que autenticarse antes de recibir el conjunto de datos. Sin estas medidas, rsync es públicamente accesible, dijeron los investigadores.

La brecha expuso 157 gigabytes de datos, un tesoro de 10 años de esquemas de líneas de ensamblaje, planos y diseños de fábrica, configuraciones y documentación robóticas, formularios de solicitud de credencial de identificación, formularios de solicitud de acceso a VPN. La violación incluso incluyó acuerdos sensibles de no divulgación, incluido uno de Tesla.

Detalles personales de algunos empleados de Level One, incluidos escaneos de licencias de conducir y pasaportes, y datos comerciales de Level One, incluidas facturas, contratos y detalles de cuentas bancarias.

El equipo de seguridad descubrió el incumplimiento el 1 de julio. La compañía alcanzó exitosamente el Nivel Uno el 9 de julio y la exposición se cerró al día siguiente.