法國網(wǎng)絡(luò)安全機構(gòu) Anis Haboubi 近日注意到,一名攻擊者在一個流行的黑客論壇上出售據(jù)稱從沃爾沃汽車公司竊取的數(shù)據(jù)。
2022 年 12 月 31 日,論壇上一位昵稱為 IntelBroker 的成員宣布,VOLVO CARS 成為勒索軟件攻擊的受害者。他聲稱該公司遭到 Endurance 勒索軟件團伙的襲擊,攻擊者竊取了 200GB 的敏感數(shù)據(jù),這些數(shù)據(jù)現(xiàn)在正在出售。
此次攻擊者并未索要贖金反而公開出售這些數(shù)據(jù)的原因是因為他們并不認(rèn)為受害人會支付贖金。
在出售的數(shù)據(jù)包括:數(shù)據(jù)庫訪問、CICD 訪問、Atlassian 訪問、域訪問、WiFi 點和登錄、身份驗證承載、API、PAC 安全訪問、員工列表、軟件許可證以及密鑰和系統(tǒng)文件。
同時,在出售的數(shù)據(jù)中還包括所有現(xiàn)有車型和未來車型的信息,并發(fā)布了一系列截圖作為黑客攻擊的證據(jù)。
目前沃爾沃公司并未對此事件進(jìn)行回應(yīng),因此尚無法確定被泄數(shù)據(jù)的真實性。但是在2021 年 12 月,瑞典汽車制造商沃爾沃汽車公司透露攻擊者從其系統(tǒng)中竊取了研發(fā)數(shù)據(jù),此后數(shù)據(jù)并未公開,也沒有收到任何勒索信息。因此,此次公開出售的數(shù)據(jù)尚不清楚是否是2021 年數(shù)據(jù)泄露事件中的數(shù)據(jù),或者是新的數(shù)據(jù)泄露事件。
汽車數(shù)據(jù)安全事件頻發(fā)
伴隨汽車智能化、網(wǎng)聯(lián)化的快速發(fā)展,以及應(yīng)用場景的不斷豐富,近年來,以汽車數(shù)據(jù)為核心的新安全問題日益凸顯,汽車數(shù)據(jù)安全事件頻發(fā)。
2022年12月,“蔚來汽車數(shù)據(jù)泄露”的消息在網(wǎng)上傳的沸沸揚揚,被泄露的數(shù)據(jù)包括蔚來內(nèi)部員工數(shù)據(jù)22800條、車主用戶身份證數(shù)據(jù)399000條,攻擊者以數(shù)據(jù)泄露勒索225萬美元的比特幣。蔚來老板李斌深夜道歉,并鄭重承諾,對因本次事件給用戶造成的損失承擔(dān)責(zé)任,并協(xié)調(diào)執(zhí)法機關(guān)深入調(diào)查。
2021年6月,大眾汽車方面曾表示,有將近330萬名客戶或潛在買家的數(shù)據(jù)遭泄露。具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。同年12月,沃爾沃汽車運營的研發(fā)數(shù)據(jù)也遭遇黑客入侵,沃爾沃稱在入侵期間公司的有限數(shù)量的研發(fā)財產(chǎn)被盜,并稱此次黑客攻擊“可能對公司的運營產(chǎn)生影響”。
2022年5月,通用汽車也曾發(fā)布聲明稱,其注意到2022年4月11日-29日期間,部分在線客戶賬戶出現(xiàn)了可疑登錄,導(dǎo)致在未經(jīng)用戶授權(quán)的情況下,客戶的獎勵積分被兌換成了禮品卡。此外,同年10月,豐田汽車在一份聲明中表示,使用其T-connect服務(wù)的約29.6萬名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶編號等。
近年來,眾多汽車廠商均受到數(shù)據(jù)安全問題影響,這其中究竟是誰的責(zé)任,用戶的數(shù)據(jù)安全如何才能得到保障?
汽車數(shù)據(jù)安全如何守住底線
隨著智能汽車的快速發(fā)展,汽車數(shù)據(jù)處理能力增強,汽車數(shù)據(jù)安全暴露的風(fēng)險也日益突出。
自手機與車機結(jié)合以后,汽車會存儲個人社交賬號、支付密碼、家庭信息、車架號等個人隱私數(shù)據(jù)。如果對智能汽車數(shù)據(jù)安全放任不管,會對國家和社會的安全,對個人隱私保護帶來重大隱患。
一邊是智能網(wǎng)聯(lián)汽車的蓬勃發(fā)展需要良好的市場環(huán)境,一邊是用戶對數(shù)據(jù)安全違法犯罪的“零容忍”。如何在保護用戶隱私、保障數(shù)據(jù)安全的同時,又不傷害到產(chǎn)業(yè)的健康發(fā)展?智能汽車需要守住數(shù)據(jù)安全底線。
近年來,我國也在加快制定相關(guān)法律法規(guī),保護數(shù)據(jù)安全。其中,工信部發(fā)布的《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》中明確,企業(yè)應(yīng)當(dāng)建立健全汽車數(shù)據(jù)安全管理制度,依法履行數(shù)據(jù)安全保護義務(wù),明確責(zé)任部門和負(fù)責(zé)人。建立數(shù)據(jù)資產(chǎn)管理臺賬,實施數(shù)據(jù)分類分級管理,加強個人信息與重要數(shù)據(jù)保護。建設(shè)數(shù)據(jù)安全保護技術(shù)措施,確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài),依法依規(guī)落實數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全事件報告等要求。
此外,我國首部針對汽車數(shù)據(jù)安全制定的法規(guī)——《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》則首次清晰界定了“汽車數(shù)據(jù)處理者”和“重要數(shù)據(jù)”類型等內(nèi)容。
相信在未來幾年整車信息安全會有更多的行業(yè)標(biāo)準(zhǔn)出臺。從整個行業(yè)的角度進(jìn)一步約束、加強立法、加速行業(yè)合作、打破數(shù)據(jù)壁壘,建立可信汽車數(shù)據(jù)流通渠道等,在滿足數(shù)據(jù)安全要求的同時,營造一個健康的市場環(huán)境。