近日,媒體曝光大眾汽車集團(tuán)的軟件子公司Cariad因配置錯(cuò)誤導(dǎo)致80萬輛電動汽車數(shù)據(jù)暴露�����。這些數(shù)據(jù)包括車輛位置�、駕駛員信息等敏感內(nèi)容,甚至包括部分德國政要和警方巡邏車的數(shù)據(jù)���,引發(fā)廣泛關(guān)注��。
車輛數(shù)據(jù)裸奔����,定位精度可達(dá)10厘米
根據(jù)Bleepingcomputer報(bào)道�����,Cariad有兩個(gè)IT應(yīng)用配置錯(cuò)誤導(dǎo)致數(shù)據(jù)存儲在亞馬遜云平臺上“裸奔”�,任何具備基礎(chǔ)技術(shù)知識的人都可能訪問這些敏感信息。
此次事件影響的車輛包括大眾����、奧迪、西雅特和斯柯達(dá)等品牌車型�,在近80萬輛被暴露的汽車中,研究人員發(fā)現(xiàn)約46萬輛車的地理位置數(shù)據(jù)可被追蹤���。其中大眾汽車和西亞特汽車的地理數(shù)據(jù)精確度可達(dá)10厘米以內(nèi)����,而奧迪和斯柯達(dá)汽車的地理數(shù)據(jù)精確度要差都多,只能定位到10公里以內(nèi)����,因此后兩者的問題相對不是很嚴(yán)重。
德國《明鏡周刊》指出�����,這些數(shù)據(jù)泄露由一位內(nèi)部舉報(bào)者向歐洲最大的道德黑客組織Chaos Computer Club(CCC)提供線索���。CCC在測試確認(rèn)漏洞后,于2023年11月26日向Cariad和大眾汽車通報(bào)了問題�,并提供了詳細(xì)的技術(shù)信息。
影響廣泛:政府官員位置被曝光
本次數(shù)據(jù)泄露事件中�,大部分受影響車輛集中在德國(30萬輛),其他受波及國家包括挪威(8萬)���、瑞典(6.8萬)����、英國(6.3萬)以及法國、荷蘭等地����。
泄露的數(shù)據(jù)不僅對個(gè)人隱私構(gòu)成威脅,還引發(fā)了對公共安全的嚴(yán)重?fù)?dān)憂��。因?yàn)檫@些位置信息雖然經(jīng)過一定的偽匿名化處理��,但仍可以通過不同數(shù)據(jù)集的組合關(guān)聯(lián)到具體用戶�,顯現(xiàn)出當(dāng)前偽匿名化技術(shù)的局限性。
《明鏡》周刊召集了一支由IT專家和記者組成的團(tuán)隊(duì)�,他們發(fā)現(xiàn)有人使用免費(fèi)軟件收集了兩位德國政客娜賈·韋珀特(Nadja Weippert)和聯(lián)邦議院議員馬庫斯·格呂貝爾(Markus Grübel)的汽車位置詳細(xì)信息。
安全響應(yīng):漏洞修復(fù)及時(shí)但問題深遠(yuǎn)
值得肯定的是�����,Cariad在收到CCC的報(bào)告后迅速采取行動����,當(dāng)日即關(guān)閉了不安全的訪問權(quán)限。CCC也對此給予積極評價(jià)����,稱其技術(shù)團(tuán)隊(duì)“快速、全面且負(fù)責(zé)任”地應(yīng)對了問題���。經(jīng)過調(diào)查���,Cariad未發(fā)現(xiàn)除CCC黑客外的其他訪問記錄�,也未發(fā)現(xiàn)數(shù)據(jù)被第三方濫用的證據(jù)����。
Cariad還表示,暴露的數(shù)據(jù)僅限于車輛連接網(wǎng)絡(luò)并注冊在線服務(wù)的用戶�,其收集的數(shù)據(jù)主要用于優(yōu)化電池和充電軟件等數(shù)字功能開發(fā)。然而����,此次事件也暴露出其數(shù)據(jù)安全實(shí)踐中的薄弱環(huán)節(jié),包括訪問權(quán)限控制和數(shù)據(jù)存儲保護(hù)的潛在不足���。
大眾接連暴雷,汽車行業(yè)網(wǎng)絡(luò)安全亟需系統(tǒng)性改進(jìn)
距離10月大眾集團(tuán)遭遇8Base勒索軟件組織攻擊僅僅2個(gè)月���,大眾集團(tuán)再次爆出嚴(yán)重?cái)?shù)據(jù)安全事故��,凸顯了汽車行業(yè)在數(shù)字化轉(zhuǎn)型過程中面臨的嚴(yán)峻數(shù)據(jù)安全挑戰(zhàn)�����。在車聯(lián)網(wǎng)和自動駕駛技術(shù)飛速發(fā)展的背景下�����,車輛采集的數(shù)據(jù)日益復(fù)雜��,數(shù)據(jù)安全問題已成為影響企業(yè)聲譽(yù)與用戶信任的重要因素�����。
不僅僅是大眾�,2024年汽車行業(yè)知名企業(yè)接連發(fā)生重大網(wǎng)絡(luò)安全事件,例如:
特斯拉的云存儲漏洞:不久前�����,特斯拉也因其云平臺上的不當(dāng)配置導(dǎo)致內(nèi)部運(yùn)營數(shù)據(jù)和源代碼泄露����,顯示出行業(yè)對云環(huán)境安全認(rèn)知的普遍不足。
豐田的供應(yīng)鏈攻擊事件:今年�����,豐田汽車的供應(yīng)鏈合作伙伴遭遇勒索軟件攻擊���,導(dǎo)致車輛生產(chǎn)數(shù)據(jù)被竊取���,進(jìn)一步強(qiáng)調(diào)了產(chǎn)業(yè)鏈數(shù)據(jù)保護(hù)的復(fù)雜性��。
奔馳的用戶數(shù)據(jù)泄露:奔馳在今年早些時(shí)候因第三方服務(wù)商失誤導(dǎo)致客戶信用數(shù)據(jù)外泄����,再次提醒企業(yè)對外包服務(wù)進(jìn)行更嚴(yán)格的監(jiān)督����。
從大眾到特斯拉、豐田等一系列事件表明���,汽車行業(yè)在邁向智能化和網(wǎng)聯(lián)化的同時(shí)�,必須重新審視其數(shù)據(jù)安全框架�。以下幾點(diǎn)值得全行業(yè)關(guān)注:
加強(qiáng)云安全管理:云平臺作為車聯(lián)網(wǎng)數(shù)據(jù)存儲的核心,需建立更嚴(yán)格的訪問控制機(jī)制�����,并引入動態(tài)監(jiān)測和自動修復(fù)功能���。
強(qiáng)化數(shù)據(jù)偽匿名化技術(shù):目前的偽匿名化技術(shù)存在被逆向關(guān)聯(lián)的風(fēng)險(xiǎn)��,需要通過分布式數(shù)據(jù)存儲和更高級的加密方法增強(qiáng)保護(hù)��。
完善供應(yīng)鏈安全協(xié)作:與外部服務(wù)商和供應(yīng)鏈伙伴的安全協(xié)作是關(guān)鍵���,需制定統(tǒng)一的安全標(biāo)準(zhǔn)并加強(qiáng)合規(guī)檢查。
提升公眾信任:用戶對車輛數(shù)據(jù)的使用和保護(hù)存在敏感性����,企業(yè)需通過透明化的安全實(shí)踐和及時(shí)的安全聲明維護(hù)用戶信任。
結(jié)論:數(shù)據(jù)是座危險(xiǎn)的金礦
數(shù)據(jù)已成為汽車行業(yè)智能化進(jìn)程中的關(guān)鍵資產(chǎn)���,但也是其面臨的最大風(fēng)險(xiǎn)����。大眾數(shù)據(jù)泄露事件不僅是一次個(gè)案�,更是對整個(gè)行業(yè)敲響的警鐘。企業(yè)只有從技術(shù)��、管理和文化多方面入手�,才能真正構(gòu)筑起車聯(lián)網(wǎng)時(shí)代的數(shù)據(jù)安全防線。
轉(zhuǎn)載自安全內(nèi)參
