法国网络安全机构 Anis Haboubi 近日注意到,一名攻击者在一个流行的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。
2022 年 12 月 31 日,论坛上一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。
此次攻击者并未索要赎金反而公开出售这些数据的原因是因为他们并不认为受害人会支付赎金。
在出售的数据包括:数据库访问、CICD 访问、Atlassian 访问、域访问、WiFi 点和登录、身份验证承载、API、PAC 安全访问、员工列表、软件许可证以及密钥和系统文件。
同时,在出售的数据中还包括所有现有车型和未来车型的信息,并发布了一系列截图作为黑客攻击的证据。
目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。
汽车数据安全事件频发
伴随汽车智能化、网联化的快速发展,以及应用场景的不断丰富,近年来,以汽车数据为核心的新安全问题日益凸显,汽车数据安全事件频发。
2022年12月,“蔚来汽车数据泄露”的消息在网上传的沸沸扬扬,被泄露的数据包括蔚来内部员工数据22800条、车主用户身份证数据399000条,攻击者以数据泄露勒索225万美元的比特币。蔚来老板李斌深夜道歉,并郑重承诺,对因本次事件给用户造成的损失承担责任,并协调执法机关深入调查。
2021年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。同年12月,沃尔沃汽车运营的研发数据也遭遇黑客入侵,沃尔沃称在入侵期间公司的有限数量的研发财产被盗,并称此次黑客攻击“可能对公司的运营产生影响”。
2022年5月,通用汽车也曾发布声明称,其注意到2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。此外,同年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。
近年来,众多汽车厂商均受到数据安全问题影响,这其中究竟是谁的责任,用户的数据安全如何才能得到保障?
汽车数据安全如何守住底线
随着智能汽车的快速发展,汽车数据处理能力增强,汽车数据安全暴露的风险也日益突出。
自手机与车机结合以后,汽车会存储个人社交账号、支付密码、家庭信息、车架号等个人隐私数据。如果对智能汽车数据安全放任不管,会对国家和社会的安全,对个人隐私保护带来重大隐患。
一边是智能网联汽车的蓬勃发展需要良好的市场环境,一边是用户对数据安全违法犯罪的“零容忍”。如何在保护用户隐私、保障数据安全的同时,又不伤害到产业的健康发展?智能汽车需要守住数据安全底线。
近年来,我国也在加快制定相关法律法规,保护数据安全。其中,工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
此外,我国首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》则首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。
相信在未来几年整车信息安全会有更多的行业标准出台。从整个行业的角度进一步约束、加强立法、加速行业合作、打破数据壁垒,建立可信汽车数据流通渠道等,在满足数据安全要求的同时,营造一个健康的市场环境。
转自 Freebuf,原文链接:https://www.freebuf.com/news/354227.html
封面来源于网络,如有侵权请联系删除