本田汽車資料庫竟然未設密碼！全球3萬員工PC端點安全資料大外洩！

首先發現的研究人員Justin Paine指出，這個資料庫疑似本田汽車公司電腦的庫存管理系統，包含約1.34億筆、40GB該公司全球30萬名員工電腦的資料。

研究人員發現的檔案中有一個包含數十萬員工的姓名、電子郵件、電腦主機名稱、MAC電腦、內網IP、作業系統、修補程式安裝情況、以及本田公司端點安全方案廠商的網路資訊。

另一個名為「非控管機器」(uncontrolledmache)的表格儲存了3,000筆資料，內容是本田公司內網中未安裝端點安全軟體的機器。研究人員說，如果攻擊者成功找到本田的網路，又掌握到哪些機器無從分辨或阻擋攻擊，這個檔案等於是為他們入侵整個網路開了一扇大門。

此外還有檔案包含公司CEO、CFO和CSO等高層人物的電腦資料，懂得精準攻擊的駭客就能用它來竊取本田汽車更寶貴的資訊。Paine就發現CEO的全名、帳號名、電子郵件、最後登入日期、以及電腦MAC位址、安裝的Windows KB版本/修補程式、OS版本、IP、端點安裝狀況及裝置類型。

研究人員並未透露本田公司電腦用的是哪家端點安全產品，但表示從外洩資料可以清清楚楚顯示廠商是誰，以及哪台電腦的端點安全軟體有開啟、或升級到最新版本（以及哪些台沒有）。

這個資料庫從3月13日上線以來每天更新約4萬筆資料，直到7月4日被Paine發現，直到7月6日一早才終於聯絡並通報本田汽車，後者10小時後就將資料庫加上了密碼。從7月1日它被Shodan搜尋引擎索引到，這個重要資料庫已經門戶大開掛在網路上6天了。

本田汽車表示，調查過系統log檔後，未發現有被外部人士下載資料的跡象，也沒有證據顯示有資料外洩，除了被研究人員截下來的圖。這家日本汽車大廠也說會採取適當措施以符合法規，並積極部署安全防護以防再發生類似事件。

來源：Bleeping Computer