2023年是不平凡的一年,它是正式步入安全强合规时代的大年,但汽车网络与数据安全事件却又频频被爆出,甚至显示出越来越激烈的趋势,安全挑战不断升级。除汽车网络安全难题外,数据安全及隐私泄露问题也越演越烈,逐渐走向安全舞台的中央。这里谈思实验室整理了国内国际汽车网络数据安全产业事件榜Top 20,供业内同仁们交流探讨,欢迎大家补充指正。那就让我们一起回顾2023年我们共同见证了哪些安全大事件吧!
01
滴滴出行通过网络安全审查,重新恢复上架
时隔一年半,滴滴出行重新恢复用户注册。1月16日,滴滴在官方微博发布公告称,过去一年多,公司认真配合国家网络安全审查,严肃对待审查中发现的安全问题,并进行了全面整改。经报网络安全审查办公室同意,即日起恢复“滴滴出行”的新用户注册。事实上,此次公告发布前夕,滴滴重新恢复上架的消息已经在业界流传。
据此前报道,2021年7月2日,网信中国发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称,将对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。随后,滴滴旗下“滴滴出行”等26款App被下架。
同年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
同日,国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问。其中提到,滴滴公司共存在16项违法事实,包括违法收集用户手机相册中的截图信息、过度收集乘客人脸识别信息等。
02
小米雷军两会上就汽车数据安全问题建言,呼吁构建完善汽车数据安全管理体系
3月4日,全国人大代表,小米集团创始人、董事长兼CEO雷军在两会上针对“构建完善汽车数据安全管理体系”提出具体建议。在汽车数据安全管理体系方面,雷军认为智能网联汽车作为车轮上的数据中心,其承载的行驶轨迹、生物特征等敏感个人信息,及地理信息、车外影像等,既是数字经济发展的重要要素资产,也给个人隐私、国家公共利益与安全带来了挑战。
在《关于构建完善汽车数据安全管理体系的建议》中,雷军指出:目前国家已发布若干汽车相关的数据安全推荐性国家标准,规范了网约车服务及汽车数据采集等部分场景要求,尚无法覆盖到研产供销全业务领域。为此雷军建议,由主管部门牵头,定义汽车数据分类分级规则,加快制定围绕汽车生命周期和数据生命周期两条主线的数据安全标准,指导产业发展。同时建立智能网联汽车数据安全认证制度、数据安全评级及公示制度,提升行业透明度与可信度。另外,雷军还指出,当前各车企间数据尚未实现有效安全流通,数据孤岛普遍存在,数据价值无法充分发挥。他建议,应当在保障数据安全的前提下,构建汽车数据共享机制及平台,让各车企间的数据实现流通,将数据转化为社会生产力。
03
号称最安全的汽车品牌,Volvo再被曝泄露大量用户信息
4月13日,据调查发现,巴西的沃尔沃汽车零售商Dimas Volvo在近一年时间里都在持续通过其网站泄露敏感文件,这些信息可能会被一些不怀好意的人拿来用于劫持官方通信渠道或者直接入侵公司的系统。
美国数字安全调查媒体的相关人员联系了Dimas Volvo和负责沃尔沃总部数据保护的相关官员,了解到目前这个信息泄漏的问题已经得到了妥善的解决。
04
现代汽车发生数据泄露事件,欧洲多国车主受影响
4月14日,现代汽车近日披露发生数据泄漏事件,意大利和法国车主以及预订试驾数据遭泄露。现代汽车是一家跨国汽车制造商,每年在欧洲销售超过五十万辆汽车,在法国和意大利的市场份额约为3%。根据Twitter上的多份报道以及“HaveIBeenPwned”创始人Troy Hunt分享的通知样本,该事件暴露了以下类型的个人数据:电子邮件地址、物理地址、电话号码、车辆底盘编号。
现代汽车的通知澄清说:访问现代汽车数据库的黑客并没有窃取财务数据或身份证号码。现代汽车表示,他们聘请了IT专家来处理数据泄露事件,已经将受影响的系统脱机,直到实施额外的安全措施。现代汽车还警告其客户对声称来自现代汽车的未经请求的电子邮件和短信保持谨慎,因为它们可能是网络钓鱼和社会工程攻击。
05
公开征求《汽车整车信息安全技术要求》等四项强制性国家标准的意见
5月5日,按照《中华人民共和国标准化法》和《强制性国家标准管理办法》,工业和信息化部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,已形成征求意见稿,现公开征求社会各界意见。征求意见截止日期为2023年7月5日,如有意见和建议,请以书面(个人需署名,单位需加盖公章,并留联系方式)或电子邮件形式进行反馈。
06
丰田泄露超200万辆汽车敏感数据:实时位置暴露近10年
5月15日,丰田汽车因云环境中的设置错误,导致车辆数据存在泄露风险。丰田公司表示,因此事受影响的范围仅限于日本境内车辆,涉及注册丰田车载信息服务、远程车载信息通信服务等服务的大约215万用户,包括丰田旗下品牌雷克萨斯的部分车主。丰田同时表示,目前数据并没有被恶意使用的报告。
丰田公司的一位发言人表示:该云环境中的设置错误是由于系统性质被设置成“公共”而非“私人”的人为错误设置所导致,错误时间长达10年,从2013年11月至今年4月。之所以这么久没发现,是因为丰田云服务缺乏“积极监测机制”,丰田今后将引入持续审核云服务设置的制度,并在数据处理规范方面严格培训员工。
07
超100GB!特斯拉曝数据泄露丑闻,自动驾驶安全问题超乎想象
5月26日,荷兰数据监管机构表示,特斯拉可能存在数据保护漏洞。据德国媒体报道,这些泄漏文件包含超过10万名前任和现任员工姓名的表格,甚至包括特斯拉首席执行官马斯克的社保号码,以及私人电子邮件地址、电话号码、员工工资、客户银行详细信息和生产机密信息。如果这种违规行为被证实,特斯拉可能会被处以高达其年销售额4%的罚款,即32.6亿欧元。
德国工会IG Metall表示,这些爆料“令人不安”,并呼吁特斯拉向员工通报所有违反数据保护的行为,并倡导一种员工可以公开、无所畏惧地提出问题和不满的文化。德国媒体援引特斯拉的一名律师的话说,一名“心怀不满的前员工”滥用了他们作为服务技术人员的权限,并补充说,特斯拉将对涉嫌泄密的个人采取法律行动。外媒称,泄露的文件含有数千起客户对该汽车制造商驾驶员辅助系统的投诉,其中约4000起是关于突然加速或制动故障的投诉。
08
黑客可远程控制,大众汽车曝关键漏洞
6月29日,大众汽车Discover Media信息娱乐系统的漏洞是在2023年2月28日发现的。该漏洞可能会使未打补丁的系统遭到拒绝服务(DoS)攻击。该漏洞起初是由大众汽车的用户发现的,随后大众汽车方面确认了该漏洞,漏洞的标识为CVE-2023-34733。该漏洞是在大众汽车媒体信息娱乐系统软件版本0876中发现的。在收到用户的这份报告后,德国汽车巨头对该漏洞进行了确认。
该公司让其事件响应小组分析了大众汽车信息娱乐系统的漏洞,后来又让研发部门分析了这个漏洞。随后他们向上述电子邮件截图中名为 "zj3t "的用户确认了该漏洞,并表示该漏洞是一个产品质量的问题,会及时改进。
09
工信部、国家标准委联合印发《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》
7月26日,为适应我国智能网联汽车发展新阶段的新需求,工业和信息化部、国家标准化管理委员会联合修订印发了《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》。
下一步,工业和信息化部将深入推进智能网联汽车标准体系建设,继续指导全国汽标委智能网联汽车分标委(SAC/TC114/SC34)及有关单位,加大在功能安全、网络安全、操作系统等重点领域的标准研制力度,积极参与国际标准法规协调制定,推进关键标准的宣贯实施,加快新能源汽车与信息通信、智能交通、智慧城市等融合发展,通过标准引导推动我国智能网联汽车产业高质量发展。
10
《车联网数据共享安全架构》等三项车联网领域行业标准正式启动
7月28日,中国电子技术标准化研究院组织召开了《车联网数据共享安全架构》等3项行业标准启动会。中国电子技术标准化研究院刘洋主持会议,来自21家单位的40名专家参与会议。
会议分别成立了《车联网数据共享安全架构》《车载信息服务 面向汽车智能服务的数据集》《路侧通信单元与路侧基础设施间的数据接口要求》等三项行业标准编制组,确定工作计划,正式启动了标准研制工作。三项标准具体情况如下表所示。
11
福特被曝安全漏洞,利用WIFI 可实施攻击
8月14日,福特汽车供应商的安全人员向福特公司报告了一个安全漏洞,漏洞编号 CVE-2023-29468。该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中,允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。
福特汽车公司发布公告称,尚未有任何证据表明该漏洞已经被黑客利用,原因在于利用WiFi软件漏洞需要较为扎实的黑客技术,且攻击者还需在物理上靠近已打开点火装置和 Wi-Fi 设置的车辆。福特汽车公司进一步指出,哪怕该漏洞已经被利用,也不会影响车辆乘坐人员的人身安全,因为该漏洞只存在于娱乐系统集成中,转向、油门和制动等控制装置有专门的防火墙保护。“如果用户担心该漏洞带来风险,可通过 SYNC 3 信息娱乐系统的设置菜单关闭 WiFi 功能。”
12
蔚来公布恶意攻击信息系统案件进展!
去年12月,蔚来汽车因用户数据遭不法人士泄露而受到社会广泛关注,当时蔚来汽车创始人、董事长兼CEO李斌就曾因此事道歉,并表示坚决不与犯罪行为妥协。
9月5日,蔚来法务部在微博发文,更新部分恶意侵害蔚来和用户合法权益案件的进展。这其中便提到了之前那起用户信息泄露事件。蔚来方面表示,在公司的协助下,公安机关于近日成功侦破一起恶意攻击蔚来信息系统的案件,目前已抓获相关犯罪嫌疑人,该刑事案件正在进一步侦办中。虽然未来并没有介绍该案件的具体情况,但是有很大概率便是此前蔚来用户信息泄露一事。
13
马自达服务器遭入侵,超10万条信息泄露
9月15日,马自达发文称,公司内部系统服务器遭到外部入侵,或超10万个人信息被泄露。据了解,这些信息都源自公司员工及合作方人员的姓名及电话号码,共计约104732条信息。官方表示:截至目前没有发现个人信息遭到滥用的情况,被泄露的信息中不包含顾客信息。可能泄漏的个人信息包括本公司及集团公司员工、分包商员工、业务合作伙伴部分信息,涉及姓名、电子邮件地址、部门及职务、电话号码等。
马自达称:此次的信息遭入侵一事,主要是因为贵公司安装的应用服务器中的一个漏洞引起的。同时,提醒员工和合作方注意个人信息安全,加强密码保护,并建议使用多重身份验证等安全措施。针对此事马自达方面也进行了道歉且表示已就此事报案,并向个人信息保护委员会进行了必要的报告,后续将采取一切可能的措施防止事件再次发生。
14
丰田公司确认遭遇美杜莎勒索软件攻击
11月16日,丰田金融服务公司(TFS)证实遭遇Medusa(美杜莎)勒索软件组织的攻击,该公司在欧洲和非洲的系统上检测到未经授权的访问。丰田金融服务公司是丰田汽车公司的子公司,作为一家全球性企业,其业务覆盖丰田汽车90%的市场,为丰田客户提供汽车融资服务。Medusa勒索软件组织在其暗网数据泄漏站点的受害者名单中添加了丰田金融服务公司,要求后者支付800万美元赎金来删除泄漏数据(下图):
安全事件发生后,该公司发言人发表了如下声明:丰田欧洲和非洲金融服务公司最近在其少数几个地点的系统中发现了未经授权的活动,目前已经将某些系统下线。同时,内部安全人员已开始与执法部门合作。截至目前,此次安全事件仅限于丰田金融服务欧洲和非洲地区。关于受影响系统的状态及其预计恢复正常运行的时间,丰田汽车方面的发言人表示,大多数国家的系统恢复已经开始进行了。
15
在华供应商被黑,Stellantis工厂生产受扰乱
11月16日,全球知名车企斯特兰蒂斯集团(Stellantis)13日表示,由于一家汽车供应商受到网络攻击,集团运营被干扰,克莱斯勒、道奇、吉普和公羊等车型的生产受到影响。
这次网络攻击主要影响中国供应商Yanfeng International Automotive Technology Co. Ltd.(延锋国际汽车技术有限公司)。13日晚间,该公司官网无法访问。延锋汽车的北美总部位于密歇根州诺维。公司生产多种即时零部件,包括座椅、内饰、电子设备和其他组件。
被问及这次网络攻击时,斯特兰蒂斯发言人Anne Marie Fortunate发表声明,“由于一家外部供应商出现问题,斯特兰蒂斯集团位于北美的部分装配厂生产受到干扰。我们正在监控情况并与供应商合作,减轻事件对我们运营的进一步影响。”她拒绝具体说明哪些生产或地点受到了影响。
16
工信部等四部门部署开展智能网联汽车准入和上路通行试点工作
11月17日,工信部等四部门发布《关于开展智能网联汽车准入和上路通行试点工作的通知》。在智能网联汽车道路测试与示范应用工作基础上,工业和信息化部、公安部、住房和城乡建设部、交通运输部遴选具备量产条件的搭载自动驾驶功能的智能网联汽车产品,开展准入试点;对取得准入的智能网联汽车产品,在限定区域内开展上路通行试点,车辆用于运输经营的需满足交通运输主管部门运营资质和运营管理要求。
17
美国汽车零部件巨头 AutoZone 遭遇网络攻击
11月21日,美国汽车配件零售商巨头 AutoZone 称其成为了 Clop MOVEit 文件传输网络攻击的受害者,导致大量数据泄露。
经调查研究,AutoZone 发现一个未经授权的第三方利用了与 MOVEit 相关的漏洞,并从支持 MOVEit 应用程序的 AutoZone 系统中“过滤”了某些数据。目前,相关机构已经对受影响的系统和相关数据进行了分析,以确定用户的信息是否受到了潜在影响。
18
欧盟《网络弹性法案》明确:如果制造商知晓设备存在重大漏洞,一律不得投放市场
12月5日消息,欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议,弥合了在最后几个悬而未决问题上的分歧。《网络弹性法案》是一项立法提案,为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过,才能成为法律。
该协议此前在技术层面上已经基本敲定,提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。牵头此事的欧洲议会议员Nicola Danti表示,“《网络弹性法案》将加强联网产品的网络安全,解决硬件和软件中的漏洞问题,让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链,并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。”
19
日产Nissan汽车在澳大利亚和新西兰遭遇网络攻击
12月7日,日产(Nissan,即尼桑)正在调查针对其在新西兰和澳大利亚的系统的网络攻击。在澳大利亚官网发布公告,确认公司遭受了一次“网络攻击”,并警告客户他们的个人信息可能已被访问。据了解,这次网络攻击影响了日产在澳大利亚和新西兰的系统,而且日产经销商的系统可能也受到了此次事件的影响。
公司网站上的声明表示,他们已经通知了新西兰和塔斯曼对岸的网络安全当局,他们的全球事件响应团队正在努力确定造成的影响。由于此事件,客户的个人数据可能已被访问,尽管此次事件的影响范围仍在调查中,但日产鼓励其客户对他们的账户保持警惕,包括注意任何不寻常或欺诈活动。
20
因不符合WP.29中网络安全要求,保时捷Macan宣布退出欧盟
12月15日,保时捷现款Macan车型将于明年春天在欧盟国家停止销售。不过需要指出的是,迫使新车停售的"罪魁祸首"并不是因为排放不达标,而是因为该车无法满足欧盟针对车辆网络安全所推出的新规。所以除了欧盟国家外,其他国家的销售并不会受到影响。
一位公司发言人表示,在保时捷开发这一车型时,WP.29法规尚未最终敲定。据发言人称,为了满足新的要求,更新车辆将成本过高。汽车制造商将面临每销售一辆不符合WP.29法规的车辆高达3万欧元(近3.3万美元)的罚款。目前尚不清楚与Macan一同开发且同样使用MLB平台的奥迪Q5是否受到UNECE的网络安全法规的影响。尚不清楚在新规定生效前是否会有其他车型停售。
来源:谈思研究院
