نوآوری در مدیریت برای توسعه پایدار

Kolnegar Private Media (Management Innovation for Sustainable Development)

2 آذر 1403 3:20 ب.ظ

نشت داده های نیسان آمریکای شمالی در اثر سیستم نادرست

پیتر فریتی ژانویه 06 ، 2021

در اقتصاد دیجیتالی امروزی ، داده ها برای هر تولید کننده ارزش فوق العاده داشته و بسیار اهمیت دارند. به همین دلیل ، تولیدکنندگان باید همیشه در محافظت از دسترسی به داده ها اماده و دقیق باشند.

اما ، نیسان آمریکای شمالی اخیراً پس از آنکه شرکت بررسی کرد ه و به این نتیجه رسید که یکی از سرورهای Git خود را اشتباه پیکربندی کرده است ، به دلیل بروزرسانی کد های منبع برای برنامه های تلفن همراه و ابزارهای داخلی ،  دچار نشت داده شده است.

تیلی کوتمن ، مهندس نرم افزار مستقر در سوئیس ، که از درز اطلاعات از منبع ناشناسی مطلع شد و داده های نیسان را مورد تجزیه و تحلیل قرار داد ، گفت که مخزن Git حاوی کد های منابع است که مشتمل بر موارد زیر بوده است :

    برنامه های Nissan NA Mobile

    برخی از قسمتهای ابزار تشخیصی نیسان ASIST

    سیستم های تجاری فروشنده / درگاه فروشنده

    کتابخانه سیار داخلی نیسان

    خدمات نیسان / اینفینیتی NCAR / ICAR

    ابزارهای جذب و نگهداری مشتری

    ابزارها و داده های تحقیقات فروش / بازار

    ابزارهای مختلف بازاریابی

    پرتال تدارکات خودرو

    خدمات متصل به وسیله نقلیه

“نیسان اولین تولید کننده وسیله نقلیه نیست که از طریق پیکربندی غلط در Gitlab اطلاعاتش را به سرقت می برند. مرسدس در زمان نقض کد منبع برای اجزای ‘ماشین هوشمند’ در ماه مه سال 2020 دچار همین وضعیت شد. در نگاه اول به نظر می رسد که این موارد نشتی امری جدی نیستند. ولی به هر حال ، این داده ها انحصاری هستند که فقط برای یک مارک خاص و شرکای کاریش مهم و مفید است. در یک اظهار نظر ایمیل شده ، لورنس پیت ، مدیر استراتژی امنیت جهانی در شبکه های Juniper ، می گوید. “با این حال ، داده ها با ارزش هستند – خریداران و بارگیری کنندگان این داده ها از آنها برای مهندسی معکوس کد ، جستجوی نقاط ضعف در پورتال های وب و یافتن راه هایی برای هک کنسول ها و یا برای به دست آوردن مزایای رقابتی یا به دلایل مخرب تر از آنها استفاده می کنند.

در هر دو مورد ذکر شده ، داده ها در یک سرور ناامن  در فضای اینترنت  وارد می شوند – یک جستجوی ساده Google dork ، که ممکن است افراد به طور مداوم اجرا کنند ، آنها را پیدا می کند . در این رابطه پیت. وی گفت: “ما باید به یاد داشته باشیم كه Google هر آنچه را كه می تواند ببیند و اعتبار سنجی كند ، اندیس می كند و بنابراین داده های رمزگذاری نشده و بدون رمز عبور ، مورد خوبی است.” “سازمان ها برای جلوگیری از وقوع این امر باید رویکرد پیشگیرانه ای در مورد امنیت خود داشته باشند. شروع به فکر کنید  که  فردی قصد سرقت این اطلاعات را دارد و به یاد داشته باشید که اگر بدون ورود به سیستم می توانید آن را ببینید ، پس هر کسی نیز می تواند آنرا ببیند. “

طبق گفته پیت ، تولیدکنندگان باید موارد زیر را به عنوان امنیت بنیادی در نظر بگیرند که باید به طور مداوم بررسی و اجرا شود:

· با استفاده از احراز هویت ، سیستم های چند عاملی و محدودیت های IP ، برای مناطق  خاصی از داده های ویژه حفاظت و محافظت را آزمایش کنید.

· رمزگذاری داده ها در حالت سکون ، و در حال حرکت.

· در مواردی که داده نمایش داده می شود ، به طور منظم درخواست های Google dork را در برابر سیستم اجرا  کنید؟

· اگر موردی نشان داده شد ، از Google بخواهید آن را با کنسول جستجوی خود حذف کند.

· اطمینان حاصل کنید که داده های حساس را نمی توان با استفاده از یک فایل robots.txt فهرست بندی کرد (گوگل جلوگیری می کند ، اما نه از هر موتور جستجوی دیگر)

پیت می گوید: “به دست آوردن این اصول ممکن است جلوی تکنیک های پیشرفته تهدید را بگیرد ، اما این باعث می شود اکثر هکرها دور باشند.”

در اظهار نظر دیگری از طریق ایمیل ، اشلی بوبو ، مدیر ارتباطات شرکت نیسان ، به IndustryWeek می گوید که نیسان تحقیقات فوری را در مورد دسترسی نامناسب به کد منبع اختصاصی شرکت انجام داد. وی می گوید: “ما این موضوع را جدی می گیریم و اطمینان داریم كه هیچ اطلاعات شخصی از مصرف كنندگان ، فروشندگان یا كارمندان از این طریق قابل دسترسی نیست.” “سیستم آسیب دیده ایمن شده است و ما اطمینان داریم که هیچ اطلاعاتی در کد منبع در معرض خطر وجود ندارد که مصرف کنندگان یا وسایل نقلیه آنها را در معرض خطر قرار دهد.”

https://www.industryweek.com

آیا این نوشته برایتان مفید بود؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *