汽车行业数据泄露事件汇总分析
据公安部统计,2023年全国机动车保有量达4.35亿辆,其中汽车3.36亿辆。到2025年,中国智能汽车渗透率有望达到80%。车辆智能化、数字化的趋势日渐明显,汽车已经不仅仅是驾驶工具,而是一个承载个人全部信息的移动终端,其数据维度远超出手机。智能驾驶、智能服务均依赖于大量数据的收集和使用,而这些高敏感的隐私数据,如何有效保护,是个行业难题,其规范管理也将是行业发展的未来趋势和诉求。近年来,与汽车、车厂相关的数据泄露事件频繁发生,也给全社会敲响了警钟。
据不完全统计,自2020年以来,国内针对整车制造、车联网信息服务提供等关联企业的恶意数据攻击达到280余万次。据不完全统计,2023年至今,国内共发生了超过20起与车企相关的数据泄露事件。
1、蔚来汽车数百万条数据遭窃,电池数据遭篡改
2022年12月,蔚来汽车遭勒索攻击,数百万条数据发生泄露。
一张流传于网络的图片显示,有人宣称破解了蔚来汽车大量数据,并公开对外出售,其列出的数据高达数百万条,这些信息被明码标价,被公开售卖的信息,不仅涉及蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。
随后,蔚来汽车官方发布声明,确认了该事件。并表示已经收到相关勒索邮件,要求支付225万美元(约合人民币1566万元)等额比特币。经蔚来汽车调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来创始人、董事长兼CEO李斌也在蔚来APP社区就用户数据泄露一事发文致歉,并表示,“不会与不法行为妥协,会对此次事件给用户带来的损失承担责任。”
2023年5月,上海市公安局嘉定分局网安支队在辖区蔚来车企开展工作中,发现近期部分车辆的动力电池数据存在异常。经公安机关侦查,犯罪嫌疑人供述,自2022年以来,该犯罪团伙使用工具将多辆正常完好的汽车电池组内的数据读出,后从各种拍卖平台、二手车商收购事故车和故障电池组,再将完好数据写入故障电池组内,完全覆盖故障电池组的原有数据,形成了与母版电池一模一样的克隆电池组,突破后台锁定功能并使得故障电池组可以重新充电上路。
蔚来汽车这两件事件,暴露了车厂自身数据安全防护、车辆电池数据安全保护的漏洞。
2、理想汽车用户隐私事件
12月21日晚间,清远发生一起重大交通事故,导致数人遭遇不幸。得知此事后,理想汽车立即展开行动,车辆系统记录到事故车辆启动紧急警报。为尽快救助伤员,工作人员多次尝试与车主取得联系未果,然而仍然义无反顾地奔赴现场。次日(12月24日)晚间,理想汽车公布了事发现场的视频资料,展示了驾驶员在碰撞前3秒所采取的应急刹车措施,无奈当时车速已经超过了自动紧急制动系统的应对能力。最终,理想L7以惊人的速度迎面撞击上一辆缓慢行驶的大货车,时速达到96公里/小时。第二天(12月25日)深夜,清远警方详细说明了理想L7车祸的具体情况——车牌号为HK12***的汽车与前方重型半挂牵引车意外相撞,造成驾乘人员两死一伤。
为证明车厂没有责任,而公布车内视频,这引起了广大新能源车主对个人隐私安全的担忧。车内视频和数据,是车主个人高度机密的隐私信息,被车厂轻易收集,并且随意公开,这使得车辆相关个人隐私数据的保护形同虚设,尤其是车厂在未经用户许可的情形下直接公开,更会令人有安全担心。
3、高合汽车车内不雅影像外泄
2024年4月,一段于高合汽车车内拍摄的不雅影像在车主群和社交媒体中流传散播。4月10日,高合汽车公开表示,高合无法调取摄像头影像,请勿造谣、传播或误导公众,并表示,公函已经发出,报警立案中,请相关微博用户立即删除微博,否则该司将进一步采取法律手段要求赔礼道歉、赔偿损失。
这并非高合的首次回应。4月9日,高合汽车就已声明表示,公司绝不存在高合官方获取或泄露相关图像的行为,高合车机后台从技术和法律上都无法远程调取摄像头本地影像。高合汽车还强调,车机端数据在技术链路上满足国家信息安全要求,车内摄像头记录的本地图像数据不会上传云端。
但高合汽车的这种解释,显然难以打消广大公众的担忧。
理想汽车和高合汽车的相关事件,都暴露了在智能网联汽车时代,车主隐私如何保护的问题,这一点是车厂应该重点考量的事情。
4、延锋汽车遭“麒麟”勒索软件攻击
2023年11月初,有外媒报道称,中国汽车零部件供应商延锋汽车遭到了勒索软件攻击,导致其内饰供应系统受到影响。据悉,延锋汽车是一家专注于内饰的汽车零部件开发商和制造商,在全球240个地点拥有57000多名员工。该公司向通用汽车、大众集团、福特、Stellantis(菲亚特、克莱斯勒、吉普、道奇)、宝马、戴姆勒、丰田、本田、日产、上汽集团销售内饰零部件。对这家供应商的攻击对北美的汽车制造供应链产生了直接的连锁反应,导致几家北美工厂生产中断。
一个名为麒麟的勒索软件团伙声明称,对此次攻击事件负责,并对外公布了部分延锋系统和文件的截图,包括财务文件、保密协议、报价文件、技术数据表和内部报告,以威胁索要赎金。
5、奔驰、宝马汽车私钥和内部数据等敏感信息暴露
2024年2月,据外媒TechCrunch近日报道,汽车巨头宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。
研究人员 Can Yoleri 报告,他在例行扫描中意外发现,宝马在微软 Azure 平台上的云存储服务器(也被称为“存储桶”)配置错误,被设置为公共访问状态,而非预期的私有状态。这一严重的配置错误导致宝马的私钥、内部数据以及其他敏感信息暴露于公众视野。
随后宝马公司对此事做出了回应,证实了此次数据泄露确实影响了基于存储开发环境的微软 Azure 存储桶。宝马发言人表示,此次事件并没有涉及到客户或个人的数据,公司已于 2024 年初修复了这一问题,并将继续与合作伙伴一起监控情况,以防止类似事件的再次发生。
此前,奔驰也曝出了类似的安全问题。据报道,安全实验室 RedHunt 从一名奔驰员工的代码仓库中发现了 GitHub 私钥,而这一私钥可访问奔驰企业内部 GitHub 服务器上的全部代码。RedHunt 在 TechCrunch 的帮助下,于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件,并在两天后撤销了该令牌,阻止了所有持有和滥用令牌者的非法访问。
6、大众汽车遭黑客入侵长达 5 年,燃油引擎/电池等机密文件泄露
2024年4 月 ,德国大众汽车(Volkswagen)披露自家遭黑客入侵长达 5 年,泄露超过 1.9 万份机密文件。大众汽车声称他们自 2010 年到 2015 年遭到黑客组织连续入侵,黑客在 2010 年开始断断续续入侵公司,在 2011 年成功获得大众公司服务器权限,并在 2014 年期间多次将机密文件传送到外部服务器。
大众公司经过盘点分析,发现黑客访问了一系列关于燃油引擎、变速箱(双离合器变速箱)、电池等技术文件,据称共有超过 1.9 万份文件遭到窃取。
7、特斯拉发生大规模数据泄露引担忧
2020年,特斯拉曾因系统宕机导致数以万计的车主无法通过App连接汽车。
2021年年初,一则国外黑客,通过特斯拉车内摄像头,获取其拍摄的车内画面曾在社交媒体平台上广泛传播并引起关注。
2023年7月,英国《卫报》报道,一名特斯拉员工向德国《商报》泄露了100GB的特斯拉数据,除了首席执行官马斯克的社保号码、员工工资等信息,还包括数千名客户投诉。数千名客户的投诉主要针对的是特斯拉“完全自动驾驶”系统,以及特斯拉车辆突然全速刹车或加速等问题。此外,泄露的文件还包括超过10万名前现任员工的信息、客户的银行详细信息,甚至是马斯克的社保号码以及私人邮箱和电话等。
特斯拉表示,这起事件源自“内部员工的不当行为”,已经在第一时间采取措施进行调查,保证客户和员工的个人信息不被滥用。
8、丰田汽车数据裸奔十年
2023年5月,丰田公开称,由于云平台设置错误,亚洲和大洋洲一些国家(不包括日本)的客户信息可能在2016年10月至2023年5月期间被允许公开访问,这些信息包括姓名、地址、电话号码、电子邮件地址以及车辆识别和登记号码,约215万的日本车主的数据在近十年间一直处于公开状态,这几乎涵盖自2012年以来注册丰田云服务平台的全部客户群,也波及到了豪华品牌雷克萨斯的客户。
丰田的发言人彼时表示,从2013年11月至今年4月,丰田云平台系统的账户性质被设置为公共的而不是私人的,这导致包含车辆的地理位置、识别号码在内的数据处于开放状态。
9、其他车辆数据安全事件
2022年3月,丰田汽车旗下零部件制造商日本电装遭到网络攻击。
2022年6月,奥迪汽车179万条销售数据遭泄露并被人从国外倒卖至国内。
2022年11月,雪佛兰和中国长安汽车的数据也出现在了暗网平台进行售卖。
2023年4月13日,据调查发现,巴西的沃尔沃汽车零售商Dimas Volvo在近一年时间里都在持续通过其网站泄露敏感文件,这些信息可能会被一些不怀好意的人拿来用于劫持官方通信渠道或者直接入侵公司的系统。
2023年4月14日,现代汽车近日披露发生数据泄漏事件,意大利和法国车主以及预订试驾数据遭泄露。根据Twitter上的多份报道以及“HaveIBeenPwned”创始人Troy Hunt分享的通知样本,该事件暴露了以下类型的个人数据:电子邮件地址、物理地址、电话号码、车辆底盘编号。现代汽车的通知澄清说:访问现代汽车数据库的黑客并没有窃取财务数据或身份证号码。现代汽车表示,他们聘请了IT专家来处理数据泄露事件,已经将受影响的系统脱机,直到实施额外的安全措施。现代汽车还警告其客户对声称来自现代汽车的未经请求的电子邮件和短信保持谨慎,因为它们可能是网络钓鱼和社会工程攻击。
2023年9月15日,马自达发文称,公司内部系统服务器遭到外部入侵,或超10万个人信息被泄露。据了解,这些信息都源自公司员工及合作方人员的姓名及电话号码,共计约104732条信息。官方表示:截至目前没有发现个人信息遭到滥用的情况,被泄露的信息中不包含顾客信息。可能泄漏的个人信息包括本公司及集团公司员工、分包商员工、业务合作伙伴部分信息,涉及姓名、电子邮件地址、部门及职务、电话号码等。
2023年11月16日,丰田公司确认遭遇美杜莎勒索软件攻击。丰田金融服务公司(TFS)证实遭遇Medusa(美杜莎)勒索软件组织的攻击,该公司在欧洲和非洲的系统上检测到未经授权的访问。丰田金融服务公司是丰田汽车公司的子公司,作为一家全球性企业,其业务覆盖丰田汽车90%的市场,为丰田客户提供汽车融资服务。Medusa勒索软件组织在其暗网数据泄漏站点的受害者名单中添加了丰田金融服务公司,要求后者支付800万美元赎金来删除泄漏数据。2023年11月21日,美国汽车配件零售商巨头 AutoZone 称其成为了 Clop MOVEit 文件传输网络攻击的受害者,导致大量数据泄露。2023年12月7日,日产(Nissan,即尼桑)正在调查针对其在新西兰和澳大利亚的系统的网络攻击。在澳大利亚官网发布公告,确认公司遭受了一次“网络攻击”,并警告客户他们的个人信息可能已被访问。
10、总结
据满意度调查机构J.D.Power的调研数据显示,有90%的用户更倾向于数据安全防护高的汽车品牌。
工信部此前发文表示,伴随汽车网联化发展,网络攻击威胁加速向车端、车联网平台蔓延,车联网网络安全事件不仅影响公民隐私、财产和生命安全,甚至可能危害社会安全和国家安全。也因此,从2021年开始,全球多数国家和地区均在不断完善针对汽车产品的隐私和数据保护的相关法律法规。
汽车数据安全,不仅关乎车主安全,更关乎社会安全和国家安全,无论是汽车厂家还是产业链上下游机构,都应该积极加强车辆数据安全防护能力,依法合规收集和使用相关信息,并严格执行相关安全保护义务。
