![]()
智東西
作者|江宇
編輯|云鵬
智東西7月1日消息,據路透社昨日報道,蘋果未發布的iPhone 18 Pro系列機型供應商名單、零部件清單,以及疑似跌落測試照片,出現在蘋果印度代工及零部件供應商塔塔電子數據泄露文件中。
![]()
塔塔電子是蘋果在印度最重要的制造伙伴之一,既為蘋果供應零部件,也承擔iPhone組裝業務,目前約占蘋果印度iPhone產量的三分之一。
![]()
▲主板泄露(圖源:X)
此次事件的“罪魁禍首”,指向一個名為World Leaks的黑客勒索組織。該組織聲稱,已在暗網上發布來自塔塔電子的超過20萬份文件,總規模超過630GB。
文件中包含蘋果、特斯拉、臺積電、高通等公司的疑似敏感資料,包括蘋果組件設計文件、供應商對應關系、質量檢測標準,特斯拉Model 3改款項目Highland的工程圖紙,以及部分員工護照掃描件、郵件、事件日志等。
塔塔電子已確認其部分系統出現“網絡安全事件”,并稱公司各項業務運營未受影響。蘋果正在調查此事,并與塔塔推進后續安全整改。
目前,暗網上全部數據的真實性尚未得到獨立驗證,World Leaks也未公開回應相關質疑。
但這起事件已經把蘋果印度供應鏈推到聚光燈下:攻擊者沒有直接攻破蘋果,卻可能通過一家核心供應商,拿到了蘋果最不愿公開的零部件、供應商和新機測試資料。
![]()
▲疑似新色櫻桃紅(圖源:X)
一、iPhone 18 Pro資料外泄,蘋果供應鏈“暗箱”被撕開一角
最新披露的重點,指向蘋果尚未發布的iPhone 18 Pro系列。
相關文件顯示,至少有6份文件將iPhone 18 Pro系列中大量零部件與具體供應商對應起來,涉及主電路板上的芯片、電池和攝像頭等部件。這些文件詳細列出了未來iPhone 18 Pro機型預計使用的數百個零件。
![]()
▲疑似iPhone 18 Pro主板圖(圖源:Reddit)
![]()
▲疑似iPhone 18 Pro前置模組,圖中標注了紅外模組、Face ID掃描組件和前置攝像頭位置(圖源:X)
對蘋果而言,這類信息具有高度敏感性。蘋果雖然會公開供應商名單,但并不會公開哪家公司供應哪一個具體零部件。
換句話說,外界通常只知道誰進入了蘋果供應鏈,卻很難知道每家公司具體負責哪一個零件。而這批文件恰恰把供應商和iPhone具體部件一一對應起來,暴露了蘋果在哪些零件上有多家供應商,在哪些環節依賴少數供應商。
這不僅可能讓競爭對手和仿冒廠商看到蘋果的產品細節,也可能讓蘋果自己的供應商更清楚地判斷蘋果的采購結構、議價空間和供應鏈弱點。
泄露文件中還包含疑似iPhone 18 Pro跌落測試照片。相關照片拍攝于2026年初,地點為塔塔一處工廠。畫面中是一部灰色直板手機,背部有蘋果Logo和三攝模組。
雖然目前無法完全確認手機型號,但知情人士稱,這些照片屬于iPhone 18 Pro機型。
這也意味著,塔塔電子泄露事件已經不只是舊款iPhone制造資料流出,而是涉及蘋果尚未發布產品的信息外泄。
二、數據最早6月已現身暗網,事件一步步升級
這起事件最早浮出水面,要從6月上旬說起。
6月12日,World Leaks在暗網泄露站點發布一批聲稱來自塔塔電子的數據。印度一家IT服務和網絡安全公司Skeletos在一篇關于塔塔電子泄露事件的文章中提到,這批數據共204341個文件,總規模630.4GB。另有安全研究人員稱,相關數據至少自6月10日起已經可以在暗網上訪問。
十天后,事件被進一步曝光。塔塔電子隨后回應稱,“幾周前,塔塔電子在部分系統中發現一起網絡安全事件。我們立即啟動了響應流程,該事件未對公司各業務運營造成影響,業務仍保持正常。”與此同時,蘋果開始調查這起泄露事件。
塔塔也被曝已收到與此次事件相關的贖金要求,但具體金額和后續進展尚未披露。
到6月26日,塔塔電子的內部整改開始浮出水面。塔塔電子已收緊內部控制,限制員工遠程訪問敏感系統,并聘請一家全球咨詢公司進行取證審計。
塔塔還已向印度政府和客戶報告此事,蘋果安全團隊也正與塔塔就短期和長期措施進行溝通。
最新進展則發生在6月30日。蘋果未發布iPhone 18 Pro系列的供應商對應文件、零部件清單和跌落測試照片,也被發現出現在泄露數據中。
至此,這起事件從一般供應鏈文件泄露,進一步升級為涉及蘋果未來產品機密資料的供應鏈安全事故。
三、泄露的不只有蘋果,特斯拉、臺積電、高通也被卷入
從目前披露的內容看,泄露文件并不只涉及蘋果。
World Leaks發布的數據中包含多個疑似蘋果文件和文件夾,其中一些標題為“com.apple.factorydata”,另有文件提到“material specification”。
![]()
印度網絡安全研究員Rajshekhar Rajaharia查看相關文件后稱,數據中還包含郵件、跨越數年的事件日志,以及包括外國員工在內的員工護照副本。
蘋果相關文件中,有一份帶有蘋果專有標記的52頁文件,內容疑似為iPhone電路板組件的質量檢測標準。一些文件頁腳寫有“本文件包含Apple Inc.的專有和保密信息”等字樣。
特斯拉也被卷入其中。塔塔電子也為特斯拉生產零部件。
World Leaks數據庫中有一個文件夾標注為“NV36 Chargeport Controller – North America”,疑似指向特斯拉Model Y升級版本中使用的充電口控制器部件。另有一份2023年特斯拉文件被標注為“TRADE SECRET”,內容為Project Highland相關圖紙。Highland是外界已知的特斯拉改款Model 3內部代號。
部分特斯拉文件頁腳還寫有相關信息被視為特斯拉的保密、專有及商業秘密信息。
![]()
后續被發現卷入的還有臺積電和高通。泄露數據內至少包含16個疑似臺積電文件或文件夾,以及23個疑似高通文件或文件夾。臺積電和高通均為iPhone相關零部件供應商。
其中,一份2022年文件標注為“TSMC Secret”,內容疑似為某臺積電組件的產品可靠性測試細節和照片。另一份2023年“Apple Silicon Engineering Group”文件,則將蘋果零件編號與臺積電編號對應起來,并在修訂記錄中包含蘋果員工信息。
高通相關文件中,一份2021年文件展示了某電源管理集成電路的機械信息和圖紙,并帶有“Confidential – May Contain Trade Secrets”水印。
此次塔塔電子事件中,World Leaks已然把一家制造商服務器里的客戶資料、員工信息和內部運營記錄一起推向暗網。
四、塔塔收緊遠程權限,蘋果參與后續安全整改
事件曝光后,塔塔電子已經開始收緊內部權限。其敏感系統的遠程訪問已受到限制,用于采購訂單等敏感內部工具的訪問權限被重新收口。
此前,這些工具的訪問相對寬松;調整之后,遠程辦公仍被允許,但只有部分員工可以遠程訪問敏感工具。
更嚴格的控制還包括外部訪問公司官方網絡時的權限管理。也就是說,員工即使在公司設施之外接入內部網絡,訪問范圍和安全審核也會變得更嚴格。
塔塔還聘請全球咨詢公司展開取證審計,并已向印度政府及客戶報告事件。印度計算機應急響應小組CERT-In也已收到相關報告。
對蘋果而言,其實塔塔的角色越來越重要。
塔塔電子成立于2020年,CEO Randhir Thakur曾任英特爾和應用材料高管。隨著蘋果推進供應鏈多元化和印度本地制造,塔塔正成為蘋果在中國以外最重要的制造伙伴之一。
Counterpoint數據顯示,印度2026年有望生產全球26%的iPhone,而四年前這一比例僅為6%。
這也是為什么這起事件對蘋果供應鏈格外敏感。塔塔不僅生產蘋果零部件,也承擔iPhone組裝任務,目前約占蘋果印度iPhone產量的三分之一,富士康負責其余部分。
對于蘋果來說,塔塔也是其印度制造戰略能否繼續擴大的一塊關鍵拼圖。
五、工廠沒有停產,但商業秘密被“搬走”了
值得注意的是,這起事件沒有造成塔塔工廠停產。塔塔在聲明中明確稱,公司業務運營未受影響。與傳統勒索軟件攻擊不同,這起事件目前看不到生產系統被加密、工廠停擺、產線中斷等明顯跡象。
但這并不意味著事件影響有限。
Skeletos認為,這起攻擊的重點并不是讓工廠停下來,而是把供應鏈里的高價值數據拿走,再通過公開泄露施壓。
Skeletos提到,World Leaks被認為是2025年初出現的勒索組織,外界普遍認為其可能是Hunter’s International勒索團伙的改名或延續。與傳統先加密系統、再索要贖金的方式相比,這類攻擊更強調靜默滲透、長期竊取數據,然后把數據發布到暗網泄露站點上。
在塔塔事件中,泄露文件中據稱包括蘋果和特斯拉圖紙、技術文件、員工護照掃描件、制造記錄、內部郵件、跨越數年的事件日志,以及可能存在的加密證書和密鑰文件。
其中,加密證書和密鑰文件尤其敏感。如果這些材料屬實,它們可能不只是歷史記錄,而是潛在的后續訪問入口。攻擊者可能借此繼續進入系統,或冒充塔塔電子相關系統。
這也揭示了制造業供應鏈中的現實問題:蘋果、特斯拉等原廠擁有成熟安全體系,但當制造規格、質量標準、設計文件、零部件編號對應表進入供應商文件服務器后,這些資料的安全水平,就取決于供應商自己的IT和安全能力。
攻擊者沒有直接攻破蘋果或特斯拉,卻可能通過塔塔拿到兩家公司的一部分商業秘密。在現代制造供應鏈中,這種區別正在變得越來越小。
六、印度制造越關鍵,供應鏈安全壓力越大
這起事件發生的背景,是印度制造在全球電子產業鏈中快速上升。
塔塔電子成為蘋果在印度最重要的合作伙伴之一,本身就是印度電子制造能力提升的標志。蘋果正加速將更多iPhone產能轉向印度,印度政府也希望借此打造電子制造強國。
但機會變大的同時,風險也在同步變大。
隨著印度制造商承接更多全球OEM訂單,其系統中保存的客戶知識產權、制造流程文件、零部件規格、質量標準和員工資料也越來越多。Skeletos認為,這使印度制造商成為勒索組織更有價值的目標。
對攻擊者來說,供應商往往是更容易下手的入口。它們掌握原廠核心制造資料,卻未必擁有與原廠同等級別的安全投入、監控體系和響應能力。一次成功入侵,就可能同時暴露多個世界級客戶的敏感文件。
Skeletos提出,制造企業需要立即審查文件服務器訪問權限,部署針對內部橫向流量的網絡監控,對客戶知識產權所在網絡進行分段,實時監控大規模數據傳輸,輪換可能泄露的加密證書和密鑰,并將員工護照等個人信息納入明確的數據保護機制。
同時,制造企業也需要重新審查與OEM客戶之間的合同安全義務,包括泄露通知時限、安全審計權、必須維持的安全控制措施等。未來,全球OEM很可能要求供應商提供持續、可驗證的安全監控能力,而不只是通過一次性安全認證或合規審計。
對于印度制造商來說,能否進入全球高端供應鏈,不再只是產能、成本和質量問題,也會越來越變成安全能力問題。
結語:蘋果供應鏈被“攻破”了
全球消費電子和汽車產業越來越依賴復雜供應鏈,核心知識產權也隨之流向更多制造節點。
蘋果可以嚴密保護自己總部和研發系統,特斯拉也可以把工程資料標注為商業秘密,但當這些文件進入供應商網絡,它們就必須依賴供應商的安全能力繼續保持保密。
這起事件暴露了一個棘手的風險:在全球制造分工中,攻擊者未必需要攻破原廠,只要攻破關鍵供應商,就可能看到原廠最不愿公開的零部件、流程、供應商和產品細節。
制造能力越強,客戶越重要,服務器里的商業秘密就越值錢。
接下來,能否像管理產品質量一樣管理信息安全,可能會成為印度制造商繼續進入全球高端供應鏈的另一道門檻。
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.