一百多家汽车厂商机密数据曝光，特斯拉通用大众丰田都中招

据多家外媒报道，7 月初，来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库，数据库包括将近 47000 份文件，涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料（如合同、发票、工作计划等），以及各种保密协议文件，甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。整个数据库的数据总量达 157 GB。Chris Vickery 表示，通过 Level One 的文件传输协议 rsync，可以不需要密码，直接访问他发现的这个数据库。

Level one 创办于 2000 年，总部位于加拿大，主要提供机器人和自动化相关的工程服务，在全球有 100 多家合作伙伴。这次发现的数据库中，特斯拉、通用、大众、丰田、福特、菲亚特克莱斯勒等知名汽车厂商的商业机密都赫然在列。

Vickery 在确认数据库来源后就联系了 Level One，随后数据库很快脱机，防止了数据库进一步泄露。但是，目前尚不清楚是否有其他人发现了这个数据库并下载了相关数据。

泄露详情

根据 UpGuard 公司的公告，此次泄露的主要原因是 Level One 在使用 rsync（广泛用于大型数据传输和备份）进行数据传输时，没有限制使用者的IP地址，导致非指定客户端也能连接。同时，他们也没有设置身份验证等用户访问权限，导致 rsync 可以公开访问，进而导致数据库裸奔。

此次泄露的数据主要包括客户数据、员工信息及与 Level One 自己的资料数据这三类。

客户数据

与 Level One 合作的多家汽车制造厂商（包括特斯拉、通用、福特、大众等）的装配线、工厂原理图、保密协议；机器人的配置、规格、动画；蓝图；ID 凭证和VPN 访问请求表；客户联系信息等。涉及厂商超过 100 家。

此外，数据库中的资料还包括工厂布局与机器人产品的详细CAD图纸、详细的机器配置、规格和使用文，以及机器人的工作动画。

Level One 的客户向其中一些客户端发送的 ID 凭证和 VPN 访问凭证也在 rsync 中公开。

波音公司的凭证申请表

此外，一些高度机密的客户隐私条款、保密数据文件、以及保密性质协议等数十份保密协议的全文也统统曝光。

特斯拉的保密协议

员工信息

数据库中泄露的员工信息主要包括员工驾驶执照和护照扫描件、员工姓名和身份证号码，还有照片等隐私数据。