法國網(wǎng)絡(luò)安全機構(gòu) Anis Haboubi 近日注意到，一名攻擊者在一個流行的黑客論壇上出售據(jù)稱從沃爾沃汽車公司竊取的數(shù)據(jù)。

2022 年 12 月 31 日，論壇上一位昵稱為 IntelBroker 的成員宣布，VOLVO CARS 成為勒索軟件攻擊的受害者。他聲稱該公司遭到 Endurance 勒索軟件團伙的襲擊，攻擊者竊取了 200GB 的敏感數(shù)據(jù)，這些數(shù)據(jù)現(xiàn)在正在出售。

此次攻擊者并未索要贖金反而公開出售這些數(shù)據(jù)的原因是因為他們并不認(rèn)為受害人會支付贖金。

在出售的數(shù)據(jù)包括：數(shù)據(jù)庫訪問、CICD 訪問、Atlassian 訪問、域訪問、WiFi 點和登錄、身份驗證承載、API、PAC 安全訪問、員工列表、軟件許可證以及密鑰和系統(tǒng)文件。

同時，在出售的數(shù)據(jù)中還包括所有現(xiàn)有車型和未來車型的信息，并發(fā)布了一系列截圖作為黑客攻擊的證據(jù)。

目前沃爾沃公司并未對此事件進行回應(yīng)，因此尚無法確定被泄數(shù)據(jù)的真實性。但是在2021 年 12 月，瑞典汽車制造商沃爾沃汽車公司透露攻擊者從其系統(tǒng)中竊取了研發(fā)數(shù)據(jù)，此后數(shù)據(jù)并未公開，也沒有收到任何勒索信息。因此，此次公開出售的數(shù)據(jù)尚不清楚是否是2021 年數(shù)據(jù)泄露事件中的數(shù)據(jù)，或者是新的數(shù)據(jù)泄露事件。

汽車數(shù)據(jù)安全事件頻發(fā)

伴隨汽車智能化、網(wǎng)聯(lián)化的快速發(fā)展，以及應(yīng)用場景的不斷豐富，近年來，以汽車數(shù)據(jù)為核心的新安全問題日益凸顯，汽車數(shù)據(jù)安全事件頻發(fā)。

2022年12月，“蔚來汽車數(shù)據(jù)泄露”的消息在網(wǎng)上傳的沸沸揚揚，被泄露的數(shù)據(jù)包括蔚來內(nèi)部員工數(shù)據(jù)22800條、車主用戶身份證數(shù)據(jù)399000條，攻擊者以數(shù)據(jù)泄露勒索225萬美元的比特幣。蔚來老板李斌深夜道歉，并鄭重承諾，對因本次事件給用戶造成的損失承擔(dān)責(zé)任，并協(xié)調(diào)執(zhí)法機關(guān)深入調(diào)查。

2021年6月，大眾汽車方面曾表示，有將近330萬名客戶或潛在買家的數(shù)據(jù)遭泄露。具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。同年12月，沃爾沃汽車運營的研發(fā)數(shù)據(jù)也遭遇黑客入侵，沃爾沃稱在入侵期間公司的有限數(shù)量的研發(fā)財產(chǎn)被盜，并稱此次黑客攻擊“可能對公司的運營產(chǎn)生影響”。

2022年5月，通用汽車也曾發(fā)布聲明稱，其注意到2022年4月11日-29日期間，部分在線客戶賬戶出現(xiàn)了可疑登錄，導(dǎo)致在未經(jīng)用戶授權(quán)的情況下，客戶的獎勵積分被兌換成了禮品卡。此外，同年10月，豐田汽車在一份聲明中表示，使用其T-connect服務(wù)的約29.6萬名客戶的個人信息可能已被泄露，包括電子郵箱地址和客戶編號等。

近年來，眾多汽車廠商均受到數(shù)據(jù)安全問題影響，這其中究竟是誰的責(zé)任，用戶的數(shù)據(jù)安全如何才能得到保障？

汽車數(shù)據(jù)安全如何守住底線

隨著智能汽車的快速發(fā)展，汽車數(shù)據(jù)處理能力增強，汽車數(shù)據(jù)安全暴露的風(fēng)險也日益突出。

自手機與車機結(jié)合以后，汽車會存儲個人社交賬號、支付密碼、家庭信息、車架號等個人隱私數(shù)據(jù)。如果對智能汽車數(shù)據(jù)安全放任不管，會對國家和社會的安全，對個人隱私保護帶來重大隱患。

一邊是智能網(wǎng)聯(lián)汽車的蓬勃發(fā)展需要良好的市場環(huán)境，一邊是用戶對數(shù)據(jù)安全違法犯罪的“零容忍”。如何在保護用戶隱私、保障數(shù)據(jù)安全的同時，又不傷害到產(chǎn)業(yè)的健康發(fā)展？智能汽車需要守住數(shù)據(jù)安全底線。

近年來，我國也在加快制定相關(guān)法律法規(guī)，保護數(shù)據(jù)安全。其中，工信部發(fā)布的《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》中明確，企業(yè)應(yīng)當(dāng)建立健全汽車數(shù)據(jù)安全管理制度，依法履行數(shù)據(jù)安全保護義務(wù)，明確責(zé)任部門和負(fù)責(zé)人。建立數(shù)據(jù)資產(chǎn)管理臺賬，實施數(shù)據(jù)分類分級管理，加強個人信息與重要數(shù)據(jù)保護。建設(shè)數(shù)據(jù)安全保護技術(shù)措施，確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)，依法依規(guī)落實數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全事件報告等要求。

此外，我國首部針對汽車數(shù)據(jù)安全制定的法規(guī)——《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》則首次清晰界定了“汽車數(shù)據(jù)處理者”和“重要數(shù)據(jù)”類型等內(nèi)容。

相信在未來幾年整車信息安全會有更多的行業(yè)標(biāo)準(zhǔn)出臺。從整個行業(yè)的角度進一步約束、加強立法、加速行業(yè)合作、打破數(shù)據(jù)壁壘，建立可信汽車數(shù)據(jù)流通渠道等，在滿足數(shù)據(jù)安全要求的同時，營造一個健康的市場環(huán)境。