Da FCA a Tesla: segreti industriali esposti per distrazione

Lug 24, 2018 Marco Schiaffino Gestione dati, In evidenza, Leaks, News, RSS, Vulnerabilità 0

Un fornitore dei maggiori produttori di auto (e non solo) ha lasciato 160 GB di dati con documenti riservati su un server accessibile a chiunque.

Quando l’Economist ha coniato il motto “Data is the new oil” (i dati sono il nuovo petrolio), il riferimento era alle informazioni raccolte su Internet tra social media e motori di ricerca. Se si fosse dovuto riferire ai brevetti avrebbe forse dovuto parlare, più che di petrolio, di diamanti.

Il valore della proprietà intellettuale, nel terzo millennio, è infatti uno dei più elevati che ci si possa immaginare. Proviamo a pensare quanto potrebbe sborsare un concorrente per avere tra le mani i progetti per la costruzione della nuova Volkswagen o i segreti di un motore elettrico di nuova generazione.

Peccato che non tutti abbiano la percezione del valore che queste informazioni possono assumere sul mercato nero. A non averlo capito nemmeno lontanamente sono i responsabili IT di Level One Robotics, un’azienda che si occupa di automazione e che collabora con un gran numero di gruppi industriali di prima grandezza.

Stiamo parlando di aziende del calibro di FCA, Tesla, General Motors, Volkswagen, Ford, Toyota, ThyssenKrupp e altri, i cui segreti industriali sono stati messi a repentaglio a causa di una banale distrazione.

Anni di lavoro per mettere a punto progetti e tecniche di produzione mandati in fumo da un partner che non sa organizzare in maniera decente i suoi sistemi informatici?

Come riporta G Data in un report pubblicato sul blog ufficiale della società di sicurezza, i responsabili di Level One Robotics non hanno capito che, collaborando con un gran numero di aziende operanti nello stesso settore, sarebbe stata una buona idea isolare i dati di ogni cliente per evitare problemi.

Niente da fare: il sistema di archiviazione dei dati messo in piedi dall’azienda consentivano di accedere a qualsiasi informazione semplicemente utilizzando le credenziali di accesso disponibili a tutti i clienti.

Peggio ancora: secondo quanto riporta la società di sicurezza UpGuard, il servizio rsync utilizzato da Level One Robotics (un sistema pensato per lo scambio di grandi quantità di dati -ndr) sarebbe stato accessibile per chiunque avesse conosciuto l’indirizzo IP giusto.

Nei database accessibili c’era un po’ di tutto: schemi delle linee di produzione e delle fabbriche, dati sulla configurazione dei robot, progetti, moduli per la richiesta di badge e accessi VPN, informazioni sui contatti dei clienti, scansioni di passaporti e patenti, fotografie dei dipendenti, contratti, fatture e accordi commerciali.

Insomma: una vera miniera d’oro per pirati informatici, esperti di spionaggio industriale o anche semplici concorrenti che volessero ficcare il naso negli affari altrui.

Ora (si spera) i dati sono stati messi in sicurezza e il rischio di fughe di notizie dovrebbe essere scongiurato. C’è da scommettere che tutte le aziende coinvolte, però, da oggi saranno molto più caute nello scegliere i proprio partner industriali.

Condividi l'articolo