文章总结: 印度电子制造巨头塔塔电子发生数据泄露,导致其客户苹果和特斯拉的机密供应链信息遭曝光。勒索团伙WorldLeaks在暗网发布了630GB的被盗数据,其中包含苹果的iPhone电路板元件质量检验标准及特斯拉的充电端口控制器等组件设计详情。此次事件凸显了供应链安全的结构性风险,即客户的知识产权安全依赖于供应商的防护能力。 综合评分: 85 文章分类: 供应链安全,数据泄露,网络安全,恶意软件,安全大事件
塔塔电子数据泄露,苹果和特斯拉机密供应链信息遭暴露
综合编译 综合编译
代码卫士
2026年7月1日 16:32 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
近日,勒索团伙 World Leaks 在暗网发布了总计630GB 的20多万份文件,声称其中包括苹果和特斯拉的专有资料和机密文档。随后,负责提供三分之一 iPhone 和向特斯拉提供半导体组件的印度电子制造巨头塔塔电子,证实发生“网络安全事件”。
World Leaks勒索团伙曾被指2026年初发生的耐克数据泄露事件有关,目前声称为塔塔电子数据泄露事件负责。该团伙在其暗网网站上发布了被盗数据,而这些数据仅可通过暗网访问,一般搜索引擎无法访问。
路透社报道称,印度网络安全研究员 Rajshekhar Rajaharia 查看了这些资料后证实称,至少从2026年6月10日起,就可访问这些资料。勒索团伙向塔塔电子发起勒索,但后者拒绝就此置评。
遭泄露数据
被泄露的数据集据称包括邮件、多年事件日志、含外国员工在内的员工护照副本以及大量制造和组件设计详情。
TechCrunch 报道称,从该勒索团伙的数据库搜索“苹果”字段,会返回181份文件和文件夹,其中多份标着 “com.apple.factorydata” 并涉及“材料规格”。在这些文件中,有一份52页的文档带有苹果公司的专有标记,据称详细载明了iPhone电路板元件的质量检验标准。部分文件页脚明确标注:“本文档包含Apple Inc.的专有和保密信息。” 他们还发现了33个文件和文件夹索引指向“霍苏尔”——泰米尔纳德邦的一座城市,塔塔在该市运营其最主要的iPhone组装工厂,该工厂正是苹果推行印度制造扩张战略的核心所在。
据路透社报道,在特斯拉方面,有一个文件夹被标记为“NV36 充电端口控制器—北美 (NV36 Chargeport Controller – North America)”,据称涉及升级版特斯拉Model Y SUV所用组件。另一份文件标记为“商业机密”,日期为2023年,内含与“Project Highland”相关的工程图纸,这是特斯拉公开已知的改款Model 3轿车内部代号。此外,还发现了一份日期为2025年5月的组装文档。特斯拉泄露的文件页脚注明,其内容“被视为特斯拉公司的保密、专有及商业机密”。
塔塔电子表示,在检测到该事件后,“响应规程已立即启动”,且其各业务运营未受影响。苹果确认正在调查此次泄露事件,据知情人士透露,目前正在开展全面分析。截至报道时,苹果和特斯拉均未回应媒体的置评请求。
该泄露事件的关键点在于,它影响了苹果最具战略意义的供应链合作伙伴之一。塔塔目前承担了苹果在印度约三分之一的iPhone生产,其余由富士康负责。
过往类似安全事件
这并非塔塔首次遭遇重大网络安全事件。2025年,其英国子公司捷豹路虎遭受勒索软件攻击,导致生产中断六周。塔塔电子此次泄露事件凸显了勒索软件攻击者针对全球科技供应链中一级供应商所带来的日益加剧的风险——单点入侵便可同时暴露多家《财富》500强客户的知识产权。
供应链安全:任何企业都无法独力修复的结构性失灵
塔塔电子此次发生的泄露事件所暴露出的深层问题是结构性的。苹果和特斯拉各自投入数十亿美元用于保护自身系统安全——但在此次事件中,这两家公司的内部网络似乎均未被攻破。真正遭到入侵的,是这两家全球最具价值企业与其产品制造商共享机密知识产权的整套流程体系。
这种共享并非可有可无。组装iPhone的供应商必须获取制造规格、元件公差和质量检验标准,才能保证数百万台设备的一致性。这些数据必须存放在苹果自身边界之外的某个地方。而一旦数据落地供应商,其安全性便取决于供应商的防护能力,而非苹果的防护能力。Verizon 公司发布的《2025年数据泄露调查报告》指出,涉及第三方参与的确诊数据泄露事件同比翻倍,达到30%,驱动因素正是供应链合作伙伴间薄弱的访问控制和低可见性。塔塔电子事件恰恰是这一问题的典型例证。
塔塔电子自2020年成立以来,员工数量已从零增长至超过7.5万人,目前承担了苹果在印度约三分之一的iPhone生产。它的快速崛起——主要通过2023年收购纬创印度业务和和硕60%印度业务,以及2024年与特斯拉签署半导体供应协议——使其成为战略上不可或缺的合作伙伴,同时也使其成为高价值攻击目标,承载着市值合计超过4万亿美元的企业的机密知识产权。
开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com
推荐阅读
在线阅读版:《2025中国软件供应链安全分析报告》全文
“冬虫夏草”供应链漏洞影响数千家组织机构的代码仓库
多家网络安全公司受 Klue 供应链攻击影响
GitHub 推出 npm 安全变更,对抗供应链攻击
最新软件供应链事件概览:Red Hat npm 包遭劫持;投毒 Claude Code;OpenAI Codex 认证令牌被盗
TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件
自动化供应链攻击6小时内攻陷5561个 GitHub 仓库
GitHub 被黑或因员工安装 Nx Console 恶意扩展引发,更多详情待调查
GitHub 内部仓库疑遭未授权访问,TeamPCP 据称正在出售 GitHub 内部源代码
奇安信Qcode Agents重磅升级,正式解锁操作系统级漏洞挖掘能力
Grafana 令牌被盗,GitHub 环境可遭访问且代码库被下载
TeamPCP再发动供应链攻击;数百个恶意包被上传,RubyGems 暂停新账号注册
Checkmarx 再遭攻击,Jenkins AST 插件受陷
Go 流行库 fsnotify 的维护人员访问权限变更,拉响供应链攻击警报
Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌
Axios 严重漏洞可导致 RCE
Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
vLLM 高危漏洞可导致RCE
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
原文链接
Tata Electronics Data Breach Exposes Confidential Apple and Tesla Documents
https://www.techtimes.com/articles/319019/20260624/apple-tesla-supplier-tata-electronics-confirms-630-gb-data-theft-iphone-specs-dark-web.htm
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 综合编译 综合编译《塔塔电子数据泄露,苹果和特斯拉机密供应链信息遭暴露》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。












评论