安全研究人员发现日本汽车大厂本田汽车(Honda Motor)一个内置超过1亿份文件,包含员工计算机主机名称、IP、使用哪套安全软件的数据库,由于未设密码,恐让全球公司计算机安全部署及漏洞状况被人看光。本田已经在接获通报后修补作业上的漏洞。
安全研究人员Justin Paine于7月初,在网络上发现本田汽车一个未设密码的ElasticSearch数据库,似乎为本田公司全球所有员工计算机的库存管理数据库。这个数据库今年3月中才上线,至今累积的数据量高达40GB及约1.34亿份文件。
经查这批曝险数据包括几乎所有Honda计算机相关数据。其中一个表格包含员工电子邮件、部门名称、Honda机器主机名称、MAC位置、内网IP、操作系统版本,另一个表格则有员工姓名、部门、员工编号、帐号、移动电话及最近登录时间。研究人员甚至发现公司CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。
另外本田公司计算机用了哪家终端安全软件,哪些机器已安装、哪些有更新版本及哪些没有也一目了然。为避免成为黑客下手目标,研究人员并未提及厂商名称。
研究人员通知本田后,后者已于当天关上漏洞。本田表示经过追查系统访问纪录,未发现有任何遭第三方人士下载的迹象,目前也没有数据外泄的证据。本田表示已做好相关强化,确保未来不会重蹈覆辙。