Onhandig foutje maakt gevoelige documenten van meer dan honderd autofabrikanten openbaar

Abonneer je gratis op Techzine!

Gevoelige documenten van meer dan honderd bedrijven die zich bezighouden met de ontwikkeling en bouw van auto’s – waaronder Fiat Chrysler, Ford, GM, Tesla, Toyota, ThyssenKrupp en Volkswagen – zijn gelekt. Dat komt doordat er bij Level One Robotics een server openbaar bleek te zijn, waar deze documenten zich op bevonden.

Dat melden onderzoekers van UpGuard Cyber Risk aan de New York Times. Level One Robotics levert industriële automatiseringsdiensten aan autofabrikanten. De bestanden kwamen bloot te liggen door een problemen met rsync, een protocol voor de overdracht van data. Volgens de onderzoekers waren er geen beperkingen geplaatst op de rsync-server. Daardoor kon elke rsync-client verbonden worden met de rsync-port en de gegevens downloaden.

Handelsgeheimen openbaar

UpGuard Cyber Risk plaatste op zijn website informatie over de manier waarop zijn onderzoekers het datalek ontdekten. Ook schrijft het hoe een schakel binnen een uitgebreide leveringsketen grote invloed kan hebben op enorme ondernemingen met ogenschijnlijk strakke veiligheidsmaatregelen. Een klein foutje kan dus geheime gegevens en handelsgeheimen openbaar maken.

In dit geval betekent het specifiek dat de gegevens van autofabrikanten potentieel gelekt zijn. Het is niet zeker of de gegevens ook daadwerkelijk buitgemaakt zijn door anderen dan de onderzoekers van UpGuard Cyber Risk. Een autofabrikant meldt aan TechCrunch dat het er niet op lijkt dat de gegevens door andere partijen buitgemaakt zijn.

Meerdere maatregelen

Het voornaamste probleem in het geval van Level One Robotics, is dat het vergeten was om toegang tot de rsynch-server te koppelen aan een IP-adres. Om problemen met dit soort relatief kleine foutjes te voorkomen, raden de onderzoekers aan om toegang tot rsync-servers ook te koppelen aan bepaalde authenticatie-eisen.

Daardoor zouden mensen met het correcte IP-adres alsnog moeten inloggen om toegang tot de datasets te krijgen. Zonder dit soort maatregelen, komen de gegevens op de rsync-server in principe op straat te liggen. Level One Robotics beschikte over 157 gigabyte aan gegevens en tien jaar aan informatie over de lay-out van fabrieken, de manier waarop robots geconfigureerd zijn, en heel veel andere gevoelige documenten.

Het datalek werd op 1 juli ontdekt. UpGuard Cyber Risk had uiteindelijk tot 9 juli nodig om iemand binnen Level One Robotics te pakken te krijgen, waarna het lek op 10 juli gedicht was.