蘋果印度工廠被黑,20萬份文件洩露,iPhone 18 Pro全曝完了
重點摘要
智東西 作者|江宇 編輯|雲鵬 智東西7月1日消息,據路透社昨日報道,蘋果未發佈的iPhone 18 Pro系列機型供應商名單、零部件清單,以及疑似跌落測試照片,出現在蘋果印度代工及零部件供應商塔塔電子數據洩露文件中。 塔塔電子是蘋果在印度最重要的製造夥伴之一,既為蘋果供應零部件,也承擔iPhone組裝業務,目前約佔蘋果印度iPhone產量的三分之一。 ▲主板洩露(圖源:X) 此次事件的“罪魁禍首”,指向一個名為World Leaks的黑客勒索組織。該組織聲稱,已在暗網上發佈來自塔塔電子的超過20萬份文件,總規模超過630GB。 文件中包含蘋果、特斯拉、臺積電、高通等公司的疑似敏感資料,包括蘋果組件設計文件、供應商對應關係、質量檢測標準,特斯拉Model 3改款項目Highland的工程圖紙,以及部分員工護照掃描件、郵件、事件日誌等。 塔塔電子已確認其部分系統出現“網絡安全事件”,並稱公司各項業務運營未受影響。蘋果正在調查此事,並與塔塔推進後續安全整改。 目前,暗網上全部數據的真實性尚未得到獨立驗證,World Leaks也未公開回應相關質疑。 但這起事件已經把蘋果印度供應鏈推到聚光燈下:攻擊者沒有直接攻破蘋果,卻可能通過一家核心供應商,拿到了蘋果最不願公開的零部件、供應商和新機測試資料。 ▲疑似新色櫻桃紅(圖源:X) 一、iPhone 18 Pro資料外洩,蘋果供應鏈“暗箱”被撕開一角 最新披露的重點,指向蘋果尚未發佈的iPhone 18 Pro系列。 相關文件顯示,至少有6份文件將iPhone 18 Pro系列中大量零部件與具體供應商對應起來,涉及主電路板上的芯片、電池和攝像頭等部件。這些文件詳細列出了未來iPhone 18 Pro機型預計使用的數百個零件。 ▲疑似iPhone 18 Pro主板圖(圖源:Reddit) ▲疑似iPhone 18 Pro前置模組,圖中標註
智東西 作者|江宇 編輯|雲鵬 智東西7月1日消息,據路透社昨日報道,蘋果未發佈的iPhone 18 Pro系列機型供應商名單、零部件清單,以及疑似跌落測試照片,出現在蘋果印度代工及零部件供應商塔塔電子數據洩露文件中。 塔塔電子是蘋果在印度最重要的製造夥伴之一,既為蘋果供應零部件,也承擔iPhone組裝業務,目前約佔蘋果印度iPhone產量的三分之一。 ▲主板洩露(圖源:X) 此次事件的“罪魁禍首”,指向一個名為World Leaks的黑客勒索組織。該組織聲稱,已在暗網上發佈來自塔塔電子的超過20萬份文件,總規模超過630GB。 文件中包含蘋果、特斯拉、臺積電、高通等公司的疑似敏感資料,包括蘋果組件設計文件、供應商對應關係、質量檢測標準,特斯拉Model 3改款項目Highland的工程圖紙,以及部分員工護照掃描件、郵件、事件日誌等。 塔塔電子已確認其部分系統出現“網絡安全事件”,並稱公司各項業務運營未受影響。蘋果正在調查此事,並與塔塔推進後續安全整改。 目前,暗網上全部數據的真實性尚未得到獨立驗證,World Leaks也未公開回應相關質疑。 但這起事件已經把蘋果印度供應鏈推到聚光燈下:攻擊者沒有直接攻破蘋果,卻可能通過一家核心供應商,拿到了蘋果最不願公開的零部件、供應商和新機測試資料。 ▲疑似新色櫻桃紅(圖源:X) 一、iPhone 18 Pro資料外洩,蘋果供應鏈“暗箱”被撕開一角 最新披露的重點,指向蘋果尚未發佈的iPhone 18 Pro系列。 相關文件顯示,至少有6份文件將iPhone 18 Pro系列中大量零部件與具體供應商對應起來,涉及主電路板上的芯片、電池和攝像頭等部件。這些文件詳細列出了未來iPhone 18 Pro機型預計使用的數百個零件。 ▲疑似iPhone 18 Pro主板圖(圖源:Reddit) ▲疑似iPhone 18 Pro前置模組,圖中標註了紅外模組、Face ID掃描組件和前置攝像頭位置(圖源:X) 對蘋果而言,這類信息具有高度敏感性。蘋果雖然會公開供應商名單,但並不會公開哪家公司供應哪一個具體零部件。 換句話說,外界通常只知道誰進入了蘋果供應鏈,卻很難知道每家公司具體負責哪一個零件。而這批文件恰恰把供應商和iPhone具體部件一一對應起來,暴露了蘋果在哪些零件上有多家供應商,在哪些環節依賴少數供應商。 這不僅可能讓競爭對手和仿冒廠商看到蘋果的產品細節,也可能讓蘋果自己的供應商更清楚地判斷蘋果的採購結構、議價空間和供應鏈弱點。 洩露文件中還包含疑似iPhone 18 Pro跌落測試照片。相關照片拍攝於2026年初,地點為塔塔一處工廠。畫面中是一部灰色直板手機,背部有蘋果Logo和三攝模組。 雖然目前無法完全確認手機型號,但知情人士稱,這些照片屬於iPhone 18 Pro機型。 這也意味著,塔塔電子洩露事件已經不只是舊款iPhone製造資料流出,而是涉及蘋果尚未發佈產品的信息外洩。 二、數據最早6月已現身暗網,事件一步步升級 這起事件最早浮出水面,要從6月上旬說起。 6月12日,World Leaks在暗網洩露站點發布一批聲稱來自塔塔電子的數據。印度一家IT服務和網絡安全公司Skeletos在一篇關於塔塔電子洩露事件的文章中提到,這批數據共204341個文件,總規模630.4GB。另有安全研究人員稱,相關數據至少自6月10日起已經可以在暗網上訪問。 十天後,事件被進一步曝光。塔塔電子隨後回應稱,“幾周前,塔塔電子在部分系統中發現一起網絡安全事件。我們立即啟動了響應流程,該事件未對公司各業務運營造成影響,業務仍保持正常。”與此同時,蘋果開始調查這起洩露事件。 塔塔也被曝已收到與此次事件相關的贖金要求,但具體金額和後續進展尚未披露。 到6月26日,塔塔電子的內部整改開始浮出水面。塔塔電子已收緊內部控制,限制員工遠程訪問敏感系統,並聘請一家全球諮詢公司進行取證審計。 塔塔還已向印度政府和客戶報告此事,蘋果安全團隊也正與塔塔就短期和長期措施進行溝通。 最新進展則發生在6月30日。蘋果未發佈iPhone 18 Pro系列的供應商對應文件、零部件清單和跌落測試照片,也被發現出現在洩露數據中。 至此,這起事件從一般供應鏈文件洩露,進一步升級為涉及蘋果未來產品機密資料的供應鏈安全事故。 三、洩露的不只有蘋果,特斯拉、臺積電、高通也被捲入 從目前披露的內容看,洩露文件並不只涉及蘋果。 World Leaks發佈的數據中包含多個疑似蘋果文件和文件夾,其中一些標題為“com.apple.factorydata”,另有文件提到“material specification”。 印度網絡安全研究員Rajshekhar Rajaharia查看相關文件後稱,數據中還包含郵件、跨越數年的事件日誌,以及包括外國員工在內的員工護照副本。 蘋果相關文件中,有一份帶有蘋果專有標記的52頁文件,內容疑似為iPhone電路板組件的質量檢測標準。一些文件頁腳寫有“本文件包含Apple Inc.的專有和保密信息”等字樣。 特斯拉也被捲入其中。塔塔電子也為特斯拉生產零部件。 World Leaks數據庫中有一個文件夾標註為“NV36 Chargeport Controller – North America”,疑似指向特斯拉Model Y升級版本中使用的充電口控制器部件。另有一份2023年特斯拉文件被標註為“TRADE SECRET”,內容為Project Highland相關圖紙。Highland是外界已知的特斯拉改款Model 3內部代號。 部分特斯拉文件頁腳還寫有相關信息被視為特斯拉的保密、專有及商業秘密信息。 後續被發現捲入的還有臺積電和高通。洩露數據內至少包含16個疑似臺積電文件或文件夾,以及23個疑似高通文件或文件夾。臺積電和高通均為iPhone相關零部件供應商。 其中,一份2022年文件標註為“TSMC Secret”,內容疑似為某臺積電組件的產品可靠性測試細節和照片。另一份2023年“Apple Silicon Engineering Group”文件,則將蘋果零件編號與臺積電編號對應起來,並在修訂記錄中包含蘋果員工信息。 高通相關文件中,一份2021年文件展示了某電源管理集成電路的機械信息和圖紙,並帶有“Confidential – May Contain Trade Secrets”水印。 此次塔塔電子事件中,World Leaks已然把一家制造商服務器裡的客戶資料、員工信息和內部運營記錄一起推向暗網。 四、塔塔收緊遠程權限,蘋果參與後續安全整改 事件曝光後,塔塔電子已經開始收緊內部權限。其敏感系統的遠程訪問已受到限制,用於採購訂單等敏感內部工具的訪問權限被重新收口。 此前,這些工具的訪問相對寬鬆;調整之後,遠程辦公仍被允許,但只有部分員工可以遠程訪問敏感工具。 更嚴格的控制還包括外部訪問公司官方網絡時的權限管理。也就是說,員工即使在公司設施之外接入內部網絡,訪問範圍和安全審核也會變得更嚴格。 塔塔還聘請全球諮詢公司展開取證審計,並已向印度政府及客戶報告事件。印度計算機應急響應小組CERT-In也已收到相關報告。 對蘋果而言,其實塔塔的角色越來越重要。 塔塔電子成立於2020年,CEO Randhir Thakur曾任英特爾和應用材料高管。隨著蘋果推進供應鏈多元化和印度本地製造,塔塔正成為蘋果在中國以外最重要的製造夥伴之一。 Counterpoint數據顯示,印度2026年有望生產全球26%的iPhone,而四年前這一比例僅為6%。 這也是為什麼這起事件對蘋果供應鏈格外敏感。塔塔不僅生產蘋果零部件,也承擔iPhone組裝任務,目前約佔蘋果印度iPhone產量的三分之一,富士康負責其餘部分。 對於蘋果來說,塔塔也是其印度製造戰略能否繼續擴大的一塊關鍵拼圖。 五、工廠沒有停產,但商業秘密被“搬走”了 值得注意的是,這起事件沒有造成塔塔工廠停產。塔塔在聲明中明確稱,公司業務運營未受影響。與傳統勒索軟件攻擊不同,這起事件目前看不到生產系統被加密、工廠停擺、產線中斷等明顯跡象。 但這並不意味著事件影響有限。 Skeletos認為,這起攻擊的重點並不是讓工廠停下來,而是把供應鏈裡的高價值數據拿走,再通過公開洩露施壓。 Skeletos提到,World Leaks被認為是2025年初出現的勒索組織,外界普遍認為其可能是Hunter’s International勒索團伙的改名或延續。與傳統先加密系統、再索要贖金的方式相比,這類攻擊更強調靜默滲透、長期竊取數據,然後把數據發佈到暗網洩露站點上。 在塔塔事件中,洩露文件中據稱包括蘋果和特斯拉圖紙、技術文件、員工護照掃描件、製造記錄、內部郵件、跨越數年的事件日誌,以及可能存在的加密證書和密鑰文件。 其中,加密證書和密鑰文件尤其敏感。如果這些材料屬實,它們可能不只是歷史記錄,而是潛在的後續訪問入口。攻擊者可能借此繼續進入系統,或冒充塔塔電子相關係統。 這也揭示了製造業供應鏈中的現實問題:蘋果、特斯拉等原廠擁有成熟安全體系,但當製造規格、質量標準、設計文件、零部件編號對應表進入供應商文件服務器後,這些資料的安全水平,就取決於供應商自己的IT和安全能力。 攻擊者沒有直接攻破蘋果或特斯拉,卻可能通過塔塔拿到兩家公司的一部分商業秘密。在現代製造供應鏈中,這種區別正在變得越來越小。 六、印度製造越關鍵,供應鏈安全壓力越大 這起事件發生的背景,是印度製造在全球電子產業鏈中快速上升。 塔塔電子成為蘋果在印度最重要的合作伙伴之一,本身就是印度電子製造能力提升的標誌。蘋果正加速將更多iPhone產能轉向印度,印度政府也希望藉此打造電子製造強國。 但機會變大的同時,風險也在同步變大。 隨著印度製造商承接更多全球OEM訂單,其系統中保存的客戶知識產權、製造流程文件、零部件規格、質量標準和員工資料也越來越多。Skeletos認為,這使印度製造商成為勒索組織更有價值的目標。 對攻擊者來說,供應商往往是更容易下手的入口。它們掌握原廠核心製造資料,卻未必擁有與原廠同等級別的安全投入、監控體系和響應能力。一次成功入侵,就可能同時暴露多個世界級客戶的敏感文件。 Skeletos提出,製造企業需要立即審查文件服務器訪問權限,部署針對內部橫向流量的網絡監控,對客戶知識產權所在網絡進行分段,實時監控大規模數據傳輸,輪換可能洩露的加密證書和密鑰,並將員工護照等個人信息納入明確的數據保護機制。 同時,製造企業也需要重新審查與OEM客戶之間的合同安全義務,包括洩露通知時限、安全審計權、必須維持的安全控制措施等。未來,全球OEM很可能要求供應商提供持續、可驗證的安全監控能力,而不只是通過一次性安全認證或合規審計。 對於印度製造商來說,能否進入全球高端供應鏈,不再只是產能、成本和質量問題,也會越來越變成安全能力問題。 結語:蘋果供應鏈被“攻破”了 全球消費電子和汽車產業越來越依賴複雜供應鏈,核心知識產權也隨之流向更多製造節點。 蘋果可以嚴密保護自己總部和研發系統,特斯拉也可以把工程資料標註為商業秘密,但當這些文件進入供應商網絡,它們就必須依賴供應商的安全能力繼續保持保密。 這起事件暴露了一個棘手的風險:在全球製造分工中,攻擊者未必需要攻破原廠,只要攻破關鍵供應商,就可能看到原廠最不願公開的零部件、流程、供應商和產品細節。 製造能力越強,客戶越重要,服務器裡的商業秘密就越值錢。 接下來,能否像管理產品質量一樣管理信息安全,可能會成為印度製造商繼續進入全球高端供應鏈的另一道門檻。
Related
相關文章

論壇預告|夯!AI企業家論壇首發陣容公開,更有千億級實業巨頭突襲
2026年WAIC企業家論壇將於7月18日舉行,首波公開陣容包含多位AI領域企業家,並有千億級實業巨頭驚喜加入。論壇聚焦AI轉型新路徑,探討企業如何運用人工智慧實現升級與創新。




