(文/張家棟 編輯/張廣凱)
近日,全球知名汽車制造商寶馬公司發生一起嚴重的數據泄露事件。
據研究人員Can Yoleri報告,他在例行掃描中意外發現,寶馬在微軟Azure平台上的雲端儲存伺服器配置錯誤,被設定為公共存取狀態,而非計劃中的私有狀態。這一配置錯誤導致寶馬的私鑰、內部數據以及其他敏感資訊暴露於公眾視野。
Yoleri在詳細報告中指出,這個被錯誤配置的伺服器中包含了大量的敏感資訊,其中包括Azure的存取資訊、存取私有儲存伺服器地址的金鑰,以及其他與寶馬雲服務相關的詳細資訊。
TechCrunch報道稱,此次暴露的數據中包括了寶馬在中國、歐洲和美國的雲服務私鑰,以及生產和開發數據庫的登入憑證。
盡管寶馬的發言人表示,此次事件並未影響客戶或個人數據,但此事件無疑對寶馬的資訊保安公信力提出了嚴峻的考驗。
該發言人還補充道:「寶馬集團已於2024年初修復了這一問題,我們將繼續與合作夥伴一起監控情況。」
不過,Yoleri 指出,寶馬尚未撤銷或更改在被暴露的雲端儲存伺服器中發現的密碼和憑證。
近年來,隨著「軟件定義汽車」概念持續深入人心,智能網聯汽車市場地位不斷提升。隨著智能化技術快速發展,軟件、芯片以及大數據成為智能網聯汽車的重要組成部份。
然而,在上述配置為消費者帶來更加便捷出行體驗的同時,其中蘊含的危險因素也不容忽視。
2020年,特斯拉曾因系統宕機導致數以萬計的車主無法透過App連線汽車;2021年年初,一則國外黑客,透過特斯拉車內網絡攝影機,獲取其拍攝的車內畫面曾在社交媒體平台上廣泛傳播並引起關註。
對於該事件,特斯拉官方發表聲明稱:「駕駛室網絡攝影機目前在北美以外的市場並沒有啟用。即使是在美國,車主也可以自由選擇是否開啟使用。」
但即便馬斯克在2021年中國發展高層論壇上特意強調:「特斯拉是不會將收集到的數據用於間諜活動的,因為這樣會讓發展受到嚴重的影響,我們願意采取最高等級的保密措施,希望和大家共創互信的未來。」甚至還在中國建立數據中心,但其品牌形象所遭受的損失,卻難以挽回。
2022年,蔚來也曾被曝出有不法分子在網上出售蔚來相關數據,並以泄露數據為由,向蔚來勒索價值225萬美元等額的比特幣。事後,蔚來董事長李斌同樣在社群中向車主與外界做出道歉,並作出回應稱:「堅決不和犯罪分子妥協,不做賠付的先河。哪怕公司賠破產了,也不會妥協。」
盡管從結果來看,無論是特斯拉被黑客的襲擊,還是蔚來遭受的不法分子侵擾,近年來的數起大規模車輛數據泄露事件都未造成太過嚴重的後果,但事實上,這些數據不止能被拿來敲詐勒索,此類資訊也易於被不法分子竊取並販賣,並帶來身與財的「精準打擊」。
此前,有業內專家分析指出:「一輛智能網聯汽車每天至少收集10TB的數據,不僅數量極大,而且涉及駕乘人員的出行軌跡、習慣、語音、影片等關鍵資訊,一旦遭受侵害會泄露個人私密。」
進入2024年,可以預見的是,伴隨著車聯網套用與智能駕駛等技術的進一步上車拓展,汽車網絡攝影機、激光雷達等各類傳感器更多,采集到的資訊很有可能涉及敏感地點,即內容非法;一些激光雷達精度很高,也可能造成精度非法。
去年,便有多起車內網絡攝影機拍攝的影片片段流露至社交媒體,引起廣泛關註的案例。
而年底某汽車媒體在冬測後,多家汽車廠商調取後台車輛數據的做法,也令消費者對行車數據的安全與保密性產生了一定的擔憂。
據去年滿意度調查機構J.D.Power的調研數據顯示,有90%的使用者更傾向於數據安全防護高的汽車品牌。
業內人士指出,數據跨境傳輸一直缺乏有效的監管機制,但涉密數據跨境傳輸對國家安全影響極大,且一旦數據傳出,後期整治、修補的難度更大。
工信部此前發文表示,伴隨汽車網聯化發展,網絡攻擊威脅加速向車端、車聯網平台蔓延,車聯網網絡安全事件不僅影響公民私密、財產和生命安全,甚至可能危害社會安全和國家安全。
也正是因此,從2021年至今,全球多數國家和地區均在不斷完善針對汽車產品的私密和數據保護的相關法律法規。
以中國為例,目前,國家互聯網資訊辦公室已經在室務會議審議透過【汽車數據安全管理若幹規定(試行)】條例,即從政策層面對汽車數據從收集、分析、儲存到傳輸、查詢、套用和刪除等全流程作出了較為詳細的規定。
同時,在資訊保安的營運端方面,車企則需要承擔起相應的資訊數據安全采集與防護責任。
在中國車企中,長城汽車針對資訊保安,從雲端進行了全方位安全設計,並與國家互聯網應急響應中心、奇虎360、百度安全實驗室、中國汽車技術研究中心等機構合作,先後成立安全共建實驗室、開展資訊保安方面的技術研究等,以提高整車資訊保安防護水平。
比亞迪則積極開展各項數據安全與合規的認證工作。目前,比亞迪已獲得R155(CSMS)、R156(SUMS)體系認證等安全認證,並透過了國家資訊保安等級保護三級認證。
理想汽車則采取全流程數據加密監控,從設計、研發到生產,每個階段的安全都全程介入,同時實作分域隔離、縱深防禦,對供應商進行安全管控,掌握安全的主動權。
但誠如本次寶馬數據泄露事件的發生,即便在較為完善的政策監管以及技術保護下,大型企業似乎也難以完全避免資訊科技管理上的疏漏。
資訊保安專家指出,雲端儲存伺服器的配置錯誤可能導致多種安全風險。私鑰的泄露可能會使通訊和數據傳輸面臨中間人攻擊的風險,而生產和開發數據庫的登入憑證泄露則可能導致未經授權的存取,甚至可能引發更大規模的數據泄露。
而對於全球汽車企業而言,寶馬的資訊泄露只是在智能化技術快速發展之路上的又一次警示,資訊保安的技術與管理的比拼,同樣是激烈廝殺的智能化技術內卷這張明牌下的潛在競爭。
