【谈思月度盘点】9月汽车网络安全产业事件金榜Top10

谈思实验室 2024-10-08 17:49

【有奖直播】无线前沿新技术与测试技术峰会 【有奖直播】提升毫米波信号测试精度

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

作为汽车网络安全产业发展的观察者、见证者及记录者，我们谈思将和同仁们一起为汽车网络安全落地献智献策，探讨智能汽车行业的新方向，共同拓展汽车网络安全产业新机遇！

2024年，我们继续为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等，助力大家把控行业动态，关键信息一网打尽！

杜克大学开发的MadRadar攻击揭示自动驾驶汽车雷达系统的重大安全风险

9月2日，杜克大学研究人员开发的MadRadar攻击揭示了自动驾驶汽车雷达系统的安全隐患。该攻击能快速干扰雷达，导致车辆误判障碍物，引发安全风险。历史上也有黑客通过激光干扰激光雷达等手段攻击自动驾驶系统。为应对挑战，建议采用多传感器融合和加强网络安全等措施。

AutoSec第八届汽车网络安全周盛大开幕：50多家车企专家莅临，护航智能汽车全域“大安全”开发

9月3-4日，由谈思实验室和谈思汽车主办的「AutoSec 2024第八届中国汽车网络安全周暨第五届智能汽车数据安全展」、「AutoSQT 2024汽车软件质量与测试峰会」和「AutoFuSa 2024第四届汽车功能安全与预期功能安全峰会」在上海盛大开幕！

会议以“汽车网络数据安全、软件安全、功能安全”为主题，设置了“3+1+X”模式，含3场主题峰会、1场专题分论坛，以及权威颁奖、特色分论坛、产品展示、新产品发布会等特色活动，涵盖汽车行业的多个方面，既有前沿的技术探讨，也有实用的经验分享，探讨许多富有建设性的意见和建议，为行业的发展提供有益的参考，为行业的合作与发展注入新的动力，共同护航智能汽车的全域“大安全”开发。

香港宝马公司部分敏感数据遭泄露

9月5日，名为“888”的威胁者声称对泄露香港宝马公司的敏感客户数据负责。据悉，“888”涉嫌泄露香港宝马的敏感数据，影响约14,057条客户记录。泄露的数据包括车辆品牌、底盘号、注册详情、车型系列、车主账户信息、公司客户标识符等。恶意行为者可利用这一综合信息进行各种欺诈活动，包括身份盗窃和有针对性的网络钓鱼攻击。

76.2万车主信息因Elasticsearch服务器配置不当泄露，数据所有者身份仍不明

Elasticsearch服务器提供了强大的全文搜索和分析功能，因此广泛应用于各种场景。近日，据Cybernews网站报道，一个托管在美国IP地址上的Elasticsearch服务器由于错误配置而引发数据泄露，研究人员在其中却意外发现了76.2万名车主的隐私信息，这引发了多方面的安全担忧。

据介绍，这个未加密的 Elasticsearch 数据库实例泄露了车主的姓名、出生日期、电话号码、身份证号码、电子邮件地址、家庭地址、车辆识别号码、汽车品牌和型号、发动机号码以及车辆颜色等隐私信息。这些信息可能导致身份盗窃、金融欺诈和人身安全风险。此外，车辆相关信息的泄露可能被犯罪分子利用于汽车盗窃或掩盖被盗车辆身份。

令人不安的是，本次数据泄露的数据库所有者身份仍然未知，这意味着受影响的个人可能不会收到信息泄露的预警通知。研究人员认为，这个数据库的所有者很可能是某个网络犯罪团伙，他们通常会汇集大量数据，并用于各种攻击，例如身份盗窃、复杂的网络钓鱼计划、针对性的网络攻击和未经授权访问个人和敏感账户。

《2024年网络安全产业人才发展报告》发布，网络安全运营人才需求强烈

9月11日，《2024年网络安全产业人才发展报告》发布。报告显示，在网络安全人才短缺的背景下，中小型企业普遍进入数字化转型阶段，网络安全业务处于成长期，因而网络安全人才需求相对更加旺盛。

报告显示，目前我国网络安全人才培养加快，截至2024年6月，我国已有626所高校开设网络空间安全专业，网络安全专业教育在我国高等教育体系中逐渐占据重要位置。数据显示，30岁以下的网络安全从业人员占比逐渐升高，成为网络安全产业的主力军。据了解，面对网络安全人才的强烈需求，我国相关专业院校也加强了同专业机构及网络安全企业的合作，培养学生的网络安全实战能力，增加毕业生的就业竞争力。

报告显示，网络安全运营招聘职位数占比最高，达到29.4%。其次是网络安全建设、数据安全等，相比往年，数据安全人才的招聘需求呈现出“岗位多要求高”的特点。此外，通信网络设备、运营商增值服务、汽车制造等行业，也对网络安全人才有较大需求。

《网络安全技术网络身份认证公共服务应用接入规范》等4项国家标准公开征求意见

9月12日，全国网络安全标准化技术委员会秘书处发布关于征求《网络安全技术网络身份认证公共服务应用接入规范》（征求意见稿）等4项国家标准意见的通知。

根据通知，全国网络安全标准化技术委员会归口的《网络安全技术网络身份认证公共服务应用接入规范》《网络安全技术公钥基础设施时间戳规范》《网络安全技术公钥基础设施 PKI组件最小互操作规范》《网络安全技术公钥基础设施证书管理协议》等4项国家标准现已形成标准征求意见稿。

根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，现将该4项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站（网址：https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10），如有意见或建议请于2024年11月11日24:00前反馈秘书处。

全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》

9月18日，全国网安标委为指导各相关组织开展敏感个人信息识别等工作，组织编制了《网络安全标准实践指南——敏感个人信息识别指南》。《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

车臣领导人喊话：马斯克远程禁用了我的Cybertruck！

9月20日，俄罗斯车臣共和国领导人拉姆赞·卡德罗夫9月19日在社交平台发文称，特斯拉CEO埃隆·马斯克通过远程控制的方式禁用了其一辆电动皮卡车——Cybertruck。这一言论引发了广泛关注，也引发了对汽车网络安全和远程控制技术的深思。

在卡德罗夫发布的视频中，他展示了一辆Cybertruck，声称该车在没有任何预警的情况下突然无法启动。他对此感到愤怒，并质疑特斯拉的行为，认为这是对消费者权益的侵犯，并呼吁公众对此事进行关注。这一事件的核心在于，卡德罗夫的指控可能涉及现代汽车日益普遍的远程监控和控制技术。

起亚汽车曝严重漏洞：仅凭车牌号就可远程控制汽车

9月27日，网络安全研究人员披露了起亚汽车的一组已修复严重漏洞，黑客仅凭车牌号即可在30秒内远程控制车辆关键功能，2013年之后的生产的起亚汽车都存在该漏洞。

众所周知，漏洞的严重性与可利用的容易程度成正比，仅通过车牌号即可获取车辆控制权无疑是迄今发现的最可怕的汽车安全漏洞。此外，黑客还能在车主毫无察觉的情况下偷偷获取车主隐私信息，包括车主的姓名、电话号码、电子邮件地址和实际住址等。更为严重的是，黑客甚至可以在车主不知情的情况下，悄悄将自己添加为车辆的“隐形”第二用户。

美国商务部拟借口“国家安全”禁用我国网联汽车软硬件系统

9月22日，美国商务部工业安全局（BIS）近日发布一项拟议规则，旨在禁止在网联汽车中使用来自我国生产的硬件和软件组件系统。这一举措主要针对车辆连接系统（VCS）和自动驾驶系统（ADS），其宣称是为了保护美国国家安全和驾驶员安全，防范网络威胁。

VCS是使车辆能与外部通信的硬件和软件系统，包括远程信息处理控制单元、蓝牙、蜂窝、卫星和Wi-Fi模块。ADS则是允许高度自主车辆无人驾驶的软件系统。如果该规则通过，将禁止进口和销售在VCS或ADS中整合了我国制造组件的车辆。此外，与我国有关联的制造商将被禁止在美国销售包含VCS硬件或软件或ADS软件的连接车辆，即使车辆是在美国制造的。

该禁令计划分阶段实施：软件禁令将于2027车型年生效，硬件禁令将于2030车型年或2029年1月1日起（对于没有车型年的单元）开始生效。目前，BIS正在对这一拟议规则征求公众意见。

end