近日，媒體曝光大眾汽車集團(tuán)的軟件子公司Cariad因配置錯誤導(dǎo)致80萬輛電動汽車數(shù)據(jù)暴露。這些數(shù)據(jù)包括車輛位置、駕駛員信息等敏感內(nèi)容，甚至包括部分德國政要和警方巡邏車的數(shù)據(jù)，引發(fā)廣泛關(guān)注。

車輛數(shù)據(jù)裸奔，定位精度可達(dá)10厘米

根據(jù)Bleepingcomputer報道，Cariad有兩個IT應(yīng)用配置錯誤導(dǎo)致數(shù)據(jù)存儲在亞馬遜云平臺上“裸奔”，任何具備基礎(chǔ)技術(shù)知識的人都可能訪問這些敏感信息。

此次事件影響的車輛包括大眾、奧迪、西雅特和斯柯達(dá)等品牌車型，在近80萬輛被暴露的汽車中，研究人員發(fā)現(xiàn)約46萬輛車的地理位置數(shù)據(jù)可被追蹤。其中大眾汽車和西亞特汽車的地理數(shù)據(jù)精確度可達(dá)10厘米以內(nèi)，而奧迪和斯柯達(dá)汽車的地理數(shù)據(jù)精確度要差都多，只能定位到10公里以內(nèi)，因此后兩者的問題相對不是很嚴(yán)重。

德國《明鏡周刊》指出，這些數(shù)據(jù)泄露由一位內(nèi)部舉報者向歐洲最大的道德黑客組織Chaos Computer Club（CCC）提供線索。CCC在測試確認(rèn)漏洞后，于2023年11月26日向Cariad和大眾汽車通報了問題，并提供了詳細(xì)的技術(shù)信息。

影響廣泛：政府官員位置被曝光

本次數(shù)據(jù)泄露事件中，大部分受影響車輛集中在德國（30萬輛），其他受波及國家包括挪威（8萬）、瑞典（6.8萬）、英國（6.3萬）以及法國、荷蘭等地。

泄露的數(shù)據(jù)不僅對個人隱私構(gòu)成威脅，還引發(fā)了對公共安全的嚴(yán)重?fù)?dān)憂。因為這些位置信息雖然經(jīng)過一定的偽匿名化處理，但仍可以通過不同數(shù)據(jù)集的組合關(guān)聯(lián)到具體用戶，顯現(xiàn)出當(dāng)前偽匿名化技術(shù)的局限性。

《明鏡》周刊召集了一支由IT專家和記者組成的團(tuán)隊，他們發(fā)現(xiàn)有人使用免費(fèi)軟件收集了兩位德國政客娜賈·韋珀特(Nadja Weippert)和聯(lián)邦議院議員馬庫斯·格呂貝爾(Markus Grübel)的汽車位置詳細(xì)信息。

安全響應(yīng)：漏洞修復(fù)及時但問題深遠(yuǎn)

值得肯定的是，Cariad在收到CCC的報告后迅速采取行動，當(dāng)日即關(guān)閉了不安全的訪問權(quán)限。CCC也對此給予積極評價，稱其技術(shù)團(tuán)隊“快速、全面且負(fù)責(zé)任”地應(yīng)對了問題。經(jīng)過調(diào)查，Cariad未發(fā)現(xiàn)除CCC黑客外的其他訪問記錄，也未發(fā)現(xiàn)數(shù)據(jù)被第三方濫用的證據(jù)。

Cariad還表示，暴露的數(shù)據(jù)僅限于車輛連接網(wǎng)絡(luò)并注冊在線服務(wù)的用戶，其收集的數(shù)據(jù)主要用于優(yōu)化電池和充電軟件等數(shù)字功能開發(fā)。然而，此次事件也暴露出其數(shù)據(jù)安全實踐中的薄弱環(huán)節(jié)，包括訪問權(quán)限控制和數(shù)據(jù)存儲保護(hù)的潛在不足。

大眾接連暴雷，汽車行業(yè)網(wǎng)絡(luò)安全亟需系統(tǒng)性改進(jìn)

距離10月大眾集團(tuán)遭遇8Base勒索軟件組織攻擊僅僅2個月，大眾集團(tuán)再次爆出嚴(yán)重數(shù)據(jù)安全事故，凸顯了汽車行業(yè)在數(shù)字化轉(zhuǎn)型過程中面臨的嚴(yán)峻數(shù)據(jù)安全挑戰(zhàn)。在車聯(lián)網(wǎng)和自動駕駛技術(shù)飛速發(fā)展的背景下，車輛采集的數(shù)據(jù)日益復(fù)雜，數(shù)據(jù)安全問題已成為影響企業(yè)聲譽(yù)與用戶信任的重要因素。

不僅僅是大眾，2024年汽車行業(yè)知名企業(yè)接連發(fā)生重大網(wǎng)絡(luò)安全事件，例如：

• 特斯拉的云存儲漏洞：不久前，特斯拉也因其云平臺上的不當(dāng)配置導(dǎo)致內(nèi)部運(yùn)營數(shù)據(jù)和源代碼泄露，顯示出行業(yè)對云環(huán)境安全認(rèn)知的普遍不足。
• 豐田的供應(yīng)鏈攻擊事件：今年，豐田汽車的供應(yīng)鏈合作伙伴遭遇勒索軟件攻擊，導(dǎo)致車輛生產(chǎn)數(shù)據(jù)被竊取，進(jìn)一步強(qiáng)調(diào)了產(chǎn)業(yè)鏈數(shù)據(jù)保護(hù)的復(fù)雜性。
• 奔馳的用戶數(shù)據(jù)泄露：奔馳在今年早些時候因第三方服務(wù)商失誤導(dǎo)致客戶信用數(shù)據(jù)外泄，再次提醒企業(yè)對外包服務(wù)進(jìn)行更嚴(yán)格的監(jiān)督。

從大眾到特斯拉、豐田等一系列事件表明，汽車行業(yè)在邁向智能化和網(wǎng)聯(lián)化的同時，必須重新審視其數(shù)據(jù)安全框架。以下幾點值得全行業(yè)關(guān)注：

• 加強(qiáng)云安全管理：云平臺作為車聯(lián)網(wǎng)數(shù)據(jù)存儲的核心，需建立更嚴(yán)格的訪問控制機(jī)制，并引入動態(tài)監(jiān)測和自動修復(fù)功能。
• 強(qiáng)化數(shù)據(jù)偽匿名化技術(shù)：目前的偽匿名化技術(shù)存在被逆向關(guān)聯(lián)的風(fēng)險，需要通過分布式數(shù)據(jù)存儲和更高級的加密方法增強(qiáng)保護(hù)。
• 完善供應(yīng)鏈安全協(xié)作：與外部服務(wù)商和供應(yīng)鏈伙伴的安全協(xié)作是關(guān)鍵，需制定統(tǒng)一的安全標(biāo)準(zhǔn)并加強(qiáng)合規(guī)檢查。
• 提升公眾信任：用戶對車輛數(shù)據(jù)的使用和保護(hù)存在敏感性，企業(yè)需通過透明化的安全實踐和及時的安全聲明維護(hù)用戶信任。

結(jié)論：數(shù)據(jù)是座危險的金礦

數(shù)據(jù)已成為汽車行業(yè)智能化進(jìn)程中的關(guān)鍵資產(chǎn)，但也是其面臨的最大風(fēng)險。大眾數(shù)據(jù)泄露事件不僅是一次個案，更是對整個行業(yè)敲響的警鐘。企業(yè)只有從技術(shù)、管理和文化多方面入手，才能真正構(gòu)筑起車聯(lián)網(wǎng)時代的數(shù)據(jù)安全防線。