近日,媒體曝光大眾汽車集團的軟件子公司Cariad因配置錯誤導致80萬輛電動汽車數據暴露。這些數據包括車輛位置、駕駛員信息等敏感內容,甚至包括部分德國政要和警方巡邏車的數據,引發廣泛關注。
車輛數據裸奔,定位精度可達10厘米
根據Bleepingcomputer報道,Cariad有兩個IT應用配置錯誤導致數據存儲在亞馬遜云平臺上“裸奔”,任何具備基礎技術知識的人都可能訪問這些敏感信息。
此次事件影響的車輛包括大眾、奧迪、西雅特和斯柯達等品牌車型,在近80萬輛被暴露的汽車中,研究人員發現約46萬輛車的地理位置數據可被追蹤。其中大眾汽車和西亞特汽車的地理數據精確度可達10厘米以內,而奧迪和斯柯達汽車的地理數據精確度要差都多,只能定位到10公里以內,因此后兩者的問題相對不是很嚴重。
德國《明鏡周刊》指出,這些數據泄露由一位內部舉報者向歐洲最大的道德黑客組織Chaos Computer Club(CCC)提供線索。CCC在測試確認漏洞后,于2023年11月26日向Cariad和大眾汽車通報了問題,并提供了詳細的技術信息。
影響廣泛:政府官員位置被曝光
本次數據泄露事件中,大部分受影響車輛集中在德國(30萬輛),其他受波及國家包括挪威(8萬)、瑞典(6.8萬)、英國(6.3萬)以及法國、荷蘭等地。
泄露的數據不僅對個人隱私構成威脅,還引發了對公共安全的嚴重擔憂。因為這些位置信息雖然經過一定的偽匿名化處理,但仍可以通過不同數據集的組合關聯到具體用戶,顯現出當前偽匿名化技術的局限性。
《明鏡》周刊召集了一支由IT專家和記者組成的團隊,他們發現有人使用免費軟件收集了兩位德國政客娜賈·韋珀特(Nadja Weippert)和聯邦議院議員馬庫斯·格呂貝爾(Markus Grübel)的汽車位置詳細信息。
安全響應:漏洞修復及時但問題深遠
值得肯定的是,Cariad在收到CCC的報告后迅速采取行動,當日即關閉了不安全的訪問權限。CCC也對此給予積極評價,稱其技術團隊“快速、全面且負責任”地應對了問題。經過調查,Cariad未發現除CCC黑客外的其他訪問記錄,也未發現數據被第三方濫用的證據。
Cariad還表示,暴露的數據僅限于車輛連接網絡并注冊在線服務的用戶,其收集的數據主要用于優化電池和充電軟件等數字功能開發。然而,此次事件也暴露出其數據安全實踐中的薄弱環節,包括訪問權限控制和數據存儲保護的潛在不足。
大眾接連暴雷,汽車行業網絡安全亟需系統性改進
距離10月大眾集團遭遇8Base勒索軟件組織攻擊僅僅2個月,大眾集團再次爆出嚴重數據安全事故,凸顯了汽車行業在數字化轉型過程中面臨的嚴峻數據安全挑戰。在車聯網和自動駕駛技術飛速發展的背景下,車輛采集的數據日益復雜,數據安全問題已成為影響企業聲譽與用戶信任的重要因素。
不僅僅是大眾,2024年汽車行業知名企業接連發生重大網絡安全事件,例如:
- 特斯拉的云存儲漏洞:不久前,特斯拉也因其云平臺上的不當配置導致內部運營數據和源代碼泄露,顯示出行業對云環境安全認知的普遍不足。
- 豐田的供應鏈攻擊事件:今年,豐田汽車的供應鏈合作伙伴遭遇勒索軟件攻擊,導致車輛生產數據被竊取,進一步強調了產業鏈數據保護的復雜性。
- 奔馳的用戶數據泄露:奔馳在今年早些時候因第三方服務商失誤導致客戶信用數據外泄,再次提醒企業對外包服務進行更嚴格的監督。
從大眾到特斯拉、豐田等一系列事件表明,汽車行業在邁向智能化和網聯化的同時,必須重新審視其數據安全框架。以下幾點值得全行業關注:
- 加強云安全管理:云平臺作為車聯網數據存儲的核心,需建立更嚴格的訪問控制機制,并引入動態監測和自動修復功能。
- 強化數據偽匿名化技術:目前的偽匿名化技術存在被逆向關聯的風險,需要通過分布式數據存儲和更高級的加密方法增強保護。
- 完善供應鏈安全協作:與外部服務商和供應鏈伙伴的安全協作是關鍵,需制定統一的安全標準并加強合規檢查。
- 提升公眾信任:用戶對車輛數據的使用和保護存在敏感性,企業需通過透明化的安全實踐和及時的安全聲明維護用戶信任。
結論:數據是座危險的金礦
數據已成為汽車行業智能化進程中的關鍵資產,但也是其面臨的最大風險。大眾數據泄露事件不僅是一次個案,更是對整個行業敲響的警鐘。企業只有從技術、管理和文化多方面入手,才能真正構筑起車聯網時代的數據安全防線。