正式出炉|2024年全球汽车网络安全重大事件集锦

谈思实验室 2025-01-15 17:56

构建AI未来，Arm计算平台无处不在 如何增强电动汽车的实时控制能力？

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

作为汽车网络安全产业发展的观察者、见证者及记录者，2024年，谈思实验室每月持续为大家整理汽车网络安全产业事件，助力大家把控行业动态，共同拓展汽车网络安全产业新机遇！

谈思小编们精心整理了2024年度公开披露的重大漏洞或安全事件共计25条，分类统计如下：车端漏洞类8条，数据泄露类11条，其他6条。

车端漏洞	数据泄露	其他
8	11	6

车端漏洞类

宝马公司遭受重定向漏洞影响

1月11日，Cybernews的研究团队发现，宝马公司的一些子域名很容易受到重定向漏洞的影响，使攻击者能够通过这类漏洞伪造实际上是指向恶意网站的链接。宝马的两个子域名容易受到SAP重定向漏洞的攻击。它们被用来访问宝马经销商的内部工作场所系统，为攻击者发动鱼叉式网络钓鱼活动或分发恶意软件提供了便利。

Cybernews的研究人员向宝马披露了这一漏洞后，宝马迅速修复了漏洞。宝马的发言人表示，确保信息安全是宝马集团的头等大事，这个原则适用于该公司的所有员工、客户和商业伙伴。宝马发言人表示：“据我们所知，已修复的漏洞并未危及宝马集团的相关系统，也没有发生任何数据泄露或被滥用的情况。”

奔驰意外暴露源代码等敏感数据

1月30日，RedHunt Labs的研究人员发现，著名车企梅赛德斯-奔驰意外地将一个私钥公开，从而导致该公司包括源代码在内的内部数据在线暴露。

梅赛德斯发言人Katja Liesenfeld表示他们意识到数据泄露后，立即撤销了相应的API令牌并移除了公共存储库。对该泄露事件的调查显示，这个令牌自2023年9月底以来一直处于公开状态，目前尚不清楚是否还有其他人未经授权地访问了这家汽车制造商的数据，也尚不清楚是否还暴露了客户数据或是其他数据。梅赛德斯拒绝透露是否知晓有任何第三方访问了暴露的数据，或者公司是否具备技术能力（如访问日志）来确定是否存在任何对其数据库的不当访问。

Tesla Model 3新漏洞：一部智能手机即可把车开走

3月11日，安全研究人员演示了如何进行网络钓鱼攻击，以危害Tesla车主的帐户、解锁汽车并启动发动机，此次攻击与特斯拉应用程序最新版本4.30.6和汽车固件版本11.1 2024.2.7有关。该研究的作者向特斯拉通报了发现的漏洞，并指出将汽车与新手机连接的程序安全性不足。

起亚汽车曝严重漏洞：仅凭车牌号就可远程控制汽车

9月27日，网络安全研究人员披露了起亚汽车的一组已修复严重漏洞，黑客仅凭车牌号即可在30秒内远程控制车辆关键功能，2013年之后的生产的起亚汽车都存在该漏洞。

众所周知，漏洞的严重性与可利用的容易程度成正比，仅通过车牌号即可获取车辆控制权无疑是迄今发现的最可怕的汽车安全漏洞。此外，黑客还能在车主毫无察觉的情况下偷偷获取车主隐私信息，包括车主的姓名、电话号码、电子邮件地址和实际住址等。更为严重的是，黑客甚至可以在车主不知情的情况下，悄悄将自己添加为车辆的“隐形”第二用户。

某智能汽车被黑客远程控制开锁即走

10月24日，GEEKCON真实黑客说现场，某安全团队还原某智能汽车被黑客远程控制开锁即走的真实场景。该智能汽车可以被远程控制主要是存在未知缺陷，通过车联网进行远程控制开锁。

马自达汽车系统漏洞引发安全危机：黑客可执行任意代码

11 月 10 日，安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统（Connect Connectivity Master Unit）存在多项高危漏洞，可能导致黑客远程执行代码，危害驾驶人安全。

这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型，涉及系统版本为 74.00.324A 的车机，黑客只需先控制受害者的手机，接着趁受害者将手机作为 USB 设备连接到 CMU 车机系统之机，即可利用相关漏洞以 root 权限运行任意代码，包括阻断车联服务、安装勒索软件、瘫痪车机系统，甚至直接危及驾驶安全。

大众和斯柯达曝12个组合漏洞，攻击者可在10米内无接触入侵

12月13日，网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞，这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。受影响的车型包括2022年生产的斯柯达Superb III（3V3）2.0 TDI，但这个问题可能也影响到使用类似车载娱乐系统的其他斯柯达和大众车型。PCAutomotive估计可能有超过140万辆车辆存在漏洞，如果考虑到售后市场组件，实际数字可能更高。

财经调查丨利用“智慧停车”系统漏洞定位车辆揭秘车辆跟踪黑产业链

随着智慧城市的建设步伐加快,智慧停车作为一种创新的服务模式,在提升城市交通管理效率、改善市民出行体验方面起到了积极的作用。12月22日，央视财经的一篇报道揭露了智慧停车系统中存在的个人信息安全问题,引起了社会广泛关注。

在智慧停车的过程中,当车辆进入或离开停车场时,系统会自动记录车辆的进出时间、车牌号码以及停留位置等数据。这些数据对于停车场管理者来说是用于优化车位分配和收费结算的基础资料。停车信息包括了车辆进入和离开某个地点的完整闭环,属于《个人信息保护法》规定的敏感个人信息中的行踪轨迹信息。然而，央视的调查显示，一些不法分子能够在远离目标车辆的位置，仅通过输入车牌号，无需任何身份验证，即可轻易获取车辆所在停车场及其入场时间等关键信息，这实际上使车主在数字世界中处于完全暴露的状态。一旦这些信息被别有用心的人所掌握，可能会引发人身安全受到威胁、财物损失等一系列严重的后果。

总台记者了解到,有犯罪分子利用“智慧停车”系统中的数据接口漏洞,破解停车场的数据库。他们首先通过互联网接单，为客户寻找指定的车辆。一旦目标车辆进入其破解能力范围内的停车场，他们便会将实时的停车信息反馈给下游的寻车团伙。短则几分钟,就会有贴手接单出发,直达停车场,拍摄车辆信息,并偷偷将GPS 追踪器贴到目标车辆的隐蔽位置。根据警方提供的资料，这些负责在车辆上安装 GPS 追踪器的贴手，以及位于上游、负责入侵停车场数据系统的不法分子，均从中获得了巨额利润。

数据泄露类

现代汽车(印度)维修站点文件分享链接泄露客户个人信息

现代汽车印度子公司修复影响南亚客户个人信息泄露漏洞,泄露的信息包括姓名、邮寄地址、电子邮箱地址、电话号码、车牌号、发动机号、行驶里程等。受影响的用户为曾在在印度授权服务站点维修过车辆的用户。TechCrunch(雅虎旗下科技媒体) 从不愿透露姓名的安全研究员了解到,该漏洞是因为现代汽车印度公司授权服务站在维修中通过 WhatsApp 与客户分享维修订单和发票获取链接,因链接中包含电话号码造成了客户的个人信息的暴露。可以通过更改链接中的电话号码来暴露其他客户的信息。

在确认研究人员的发现后，TechCrunch 于 12 月 29 日向现代汽车印度公司发送了邮件。在 1 月 4 日收到回复后，TechCrunch 向现代汽车印度公司详细披露了漏洞信息。鉴于漏洞虽然简单但影响严重，TechCrunch 要求现代汽车印度公司在 7 天内完成漏洞修复工作。1 月 11 日,漏洞被修复,相关链接被重定向到错误页面,不再可用。

约10万名客户信息泄露日产澳大利亚发布致歉声明

3月13日，日产澳大利亚分公司近日发布安全公告，在确认并报告系统遭到黑客入侵3个月之后，目前已经开始联系约10万名客户，并告知其个人信息已经被泄露。

日产在公告中表示，已经确定在本次攻击事件中，约有10万人的个人信息被黑客窃取。其中大部分人是该公司金融服务部门服务的客户，这些员工在日产、三菱、雷诺、Skyline、英菲尼迪、LDV和Ram品牌下销售产品。从报道中获悉，在受影响的人中，预估有1万人的“身份证”信息曝光，此外预估约有7500人的驾驶执照、4000人的医疗保险卡、1300人的税务档案号和220人的护照信息泄露。

大众汽车遭黑客入侵长达5年，燃油引擎/电池等机密文件泄露

4月30日，德国大众汽车（Volkswagen）近日披露了一起严重的安全事件，该公司声称其在2010年至2015年期间遭到黑客入侵长达五年之久。据悉，这些入侵始于2010年，并在2011年取得突破，成功获得了大众公司的服务器权限。此后，在2014年期间多次将机密文件传送到了外部服务器。

据大众公司统计分析，黑客访问了一系列与燃油引擎、双离合器变速箱、电池等技术相关的文件。据称，共有超过1.9万份文件遭到窃取。此次安全事件对大众汽车来说是一次严重的打击。虽然目前还没有详细公开被窃取的机密文件内容和目的，但可以推测这些信息可能与该公司的核心技术相关。此次安全事件也让人们再次关注到企业内部网络安全问题的重要性。

知名汽车售后服务商或泄露3.8亿客户隐私信息

6月7日，汽车售后市场零部件的重要服务商Advance Auto Parts公司近日遭受数据泄露，涉及大量客户和员工信息被窃取，一名自称“Sp1d3r”的威胁行为者声称从该公司Snowflake云存储中盗取了约3TB的数据，并以150万美元的价格出售，泄露信息包括约3.8亿个客户资料、4400万个忠诚度/加油卡号、350000名员工信息等。该黑客已指定需要中间人来促进被盗数据的销售，并且不会通过 Telegram 进行任何交易。

这起数据泄露事件与最近针对Snowflake客户的一系列网络攻击有关。Snowflake已承认此问题并通知了部分受影响客户，但未提供具体细节。此前，Live Nation也曾遭受类似攻击，5.6亿用户信息被盗并存放在Snowflake云上。Snowflake正在配合调查并采取措施减轻影响，建议受影响的客户和员工加强个人信息保护，使用Snowflake服务的企业也应提高网络安全防护。

出售车主驾驶数据牟利！现代、通用、本田被点名！

7月29日，近日，美国俄勒冈州和马萨诸塞州两位参议员 Ron Wyden 和 Edward J. Markey 致信联邦贸易委员会（FTC），要求彻查汽车厂商的数据收集和销售行为。他们认为，汽车厂商以降低保险费为诱饵，诱导消费者同意分享数据，但实际上却将数据出售给第三方牟利。

报告指出，现代汽车公司最为恶劣，强制将所有激活网络功能的新车用户加入驾驶评分计划，并将数据分享给数据公司 Verisk，而Verisk则将这些数据出售给汽车保险公司，用于评估驾驶员的驾驶习惯。

从 2018 年到 2024 年，现代汽车与 Verisk 共享了 170 万辆汽车的数据，获得了 1043315.69 美元（约 756.9 万元人民币）的收入，平均每辆车 61 美分。现代汽车在共享数据之前并未征得消费者的知情同意。

参议员们认为，汽车厂商此举严重侵犯了消费者隐私，并要求 FTC 对相关公司及其高管追责。他们表示，目前曝光的问题可能只是冰山一角，汽车厂商不应未经同意出售消费者数据。汽车厂商则辩称，这些都是“选择性加入”的项目，但并未否认数据被出售给第三方。

通用汽车因非法出售驾驶员数据被美国德克萨斯州起诉

8月13日，通用汽车因未经同意出售驾驶员数据被美国德克萨斯州起诉。这一诉讼由德克萨斯州司法部长办公室通过其消费者保护部门以德克萨斯州（“原告”或“州”）的名义提出，目的是为了公共利益，依据德克萨斯州《欺骗性贸易行为法》（“DTPA”）第17.47条的授权提起。州政府指控通用汽车在其经营过程中进行了《DTPA》第17.46(a)和(b)条款所定义的非法“虚假、欺骗性和误导性行为”。

此次诉讼是帕克斯顿司法部长于2024年6月发起的一项广泛数据隐私和安全倡议的一部分，旨在确保公司尊重德克萨斯州居民的隐私权，并执行隐私保护法律。

丰田再次发生大规模数据泄露

8月21日，据Bleepingcomputer报道，丰田公司已确认其网络系统再次遭到黑客攻击，大约240GB的敏感数据被泄露到黑客论坛。该事件由名为ZeroSevenGroup的黑客组织发起，该组织声称成功入侵了丰田美国的一个分支机构，窃取了大量涉及员工、客户、财务及网络基础设施的信息。

虽然丰田没有透露这次数据泄露的日期，以及黑客是通过何种方式入侵并窃取了多少人的数据，但 BleepingComputer 发现这些文件被至少是在 2022 年 12 月 25 日创建的。这个日期可能表明，攻击者访问了存储数据的备份服务器。丰田表示，这次事件不是系统范围的问题，影响程度有限，并正在与受影响的人员保持接触以提供必要的帮助。

香港宝马公司部分敏感数据遭泄露

9月5日，名为“888”的威胁者声称对泄露香港宝马公司的敏感客户数据负责。据悉，“888”涉嫌泄露香港宝马的敏感数据，影响约14,057条客户记录。泄露的数据包括车辆品牌、底盘号、注册详情、车型系列、车主账户信息、公司客户标识符等。恶意行为者可利用这一综合信息进行各种欺诈活动，包括身份盗窃和有针对性的网络钓鱼攻击。

大众汽车集团遭遇勒索软件攻击

10月16日，据《安全周刊》报道，德国汽车制造巨头大众汽车集团确认成为8Base勒索软件攻击的最新受害者。该事件突显了全球汽车行业网络安全面临的严峻态势。

大众集团旗下拥有多个汽车品牌，包括大众、斯柯达、西雅特、奥迪、兰博基尼、保时捷、Cupra和宾利。在8Base将大众集团作为受害者发布到其数据泄漏网站后，大众集团发表了简短的媒体声明，称其核心IT基础设施未受到影响。

但8Base黑客组织声称已经窃取了大量大众集团机密信息，包括发票、合同、员工文件以及其他敏感公司信息。截至发稿，这些数据尚未被公开发布。

福特客户数据遭泄露

一名威胁者声称在黑客论坛上泄露了 44,000 条客户记录，还暗示黑客“IntelBroker”参与了 2024 年 11 月的泄密事件，泄露的福特客户记录中包含有客户信息，包括全名、位置、购买详细信息、经销商信息等。

暴露的记录并不是极其敏感，但它们包含个人身份信息，这些信息可能会导致针对暴露个人的网络钓鱼和社会工程攻击。目前，威胁者并没有试图出售该数据集，而是以 8 个积分（相当于 2 美元多一点）的价格将其提供给黑客论坛的注册会员。

福特根据正在进行的调查的新发现确定福特的系统或客户数据没有遭到破坏。此事涉及第三方供应商和一小批公开的经销商的营业地址。目前此事现已得到解决。

大众汽车集团欧洲发生严重数据泄漏，80万车主可被定位

12月28日，软件公司 Cariad 的一项安全漏洞，导致约 80 万辆大众集团在欧洲销售的电动汽车的位置信息暴露在互联网上长达数月。根据当地时间 27 日发布的消息，一位举报人向德国《明镜》杂志及一个欧洲黑客组织透露了这一问题，泄露的数据将车主的位置信息与个人身份信息（如车主姓名）关联。

这一漏洞使得《明镜》能够极为精准地追踪两名德国政治人物的行踪。比如，一名德国国防委员会成员的行踪被定位在其父亲的养老院及德国军事基地，而一位市长的车则记录了她从市政厅到物理治疗师处的移动轨迹。报道还揭露了关于大众、奥迪、西雅特和斯柯达等品牌的电动车数据，特别是关于大众 ID.3 和 ID.4 车主的详细信息。

《明镜》表示，它在亚马逊云存储上发现了多达数 TB 的数据，记录了约 46 万辆汽车的精确位置信息，这些数据能揭示出车主的日常生活轨迹。此外，报告中还包括了汉堡警察局的 35 辆电动车、其他政治人物、商界领袖以及一些与美国空军兰施泰因空军基地有关的司机的信息。

其他类

因软件供应商遭黑客攻击全美1.5万家汽车经销商业务陷入停滞

6月19日，当地时间据CBSNEWS报道，美国汽车经销商提供软件的主要供应商CDKGlobal近期遭遇黑客攻击，导致大部分系统(IT系统、电话系统、应用程序)暂时关闭。这一事故造成最直接的结果，就是约1.5万家汽车经销商无法开展销售业务。例如，通用汽车经销商就依赖CDK的系统，在全美拥有数百家经销商的汽车零售公司Group1Automotive也举步维艰。

CDK发言人对CBS表示，“我们正在积极调查一起网络事件。出于对客户的谨慎和关切，我们关闭了大部分系统，并正在努力尽快恢复一切运行。”当地时间周四，CDK宣布经过测试并与第三方专家协商后，部分系统已经恢复运行。

东风汽车建厂意大利，面临数据安全问题！

8月9日，意大利政府正与东风汽车就在意大利建立电动汽车工厂进行初步谈判。作为支持东风汽车新建工厂的条件，意大利政府要求东风汽车在网络安全和数据保护方面采取保障措施。具体而言，信息娱乐设备等零部件必须由意大利本地供应商提供，同时所有与汽车相关的消费者数据须在意大利境内收集与处理。对此，东风汽车相关负责人在接受媒体采访时表示，目前双方仅处于初步接触阶段，尚未开展实质性的沟通。

Uber因将欧洲数据存到美国被罚23亿

8月26日，据媒体报道，荷兰数据保护局称Uber“严重违反”了荷兰的数据保护条例，荷兰数据保护局对其处以2.9亿欧元(3.24亿美元、23.07亿人民币)罚款，因其将欧洲出租车司机的个人数据传输到美国。

数据保护局在周一的声明中表示，Uber未能“适当保护数据”，这”严重违反”了荷兰的数据保护条例。数据保护局表示，Uber在美国的服务器上收集并保留了司机的账户信息、出租车牌照、位置数据、照片、付款细节、身份证件，在某些情况下甚至还有犯罪和医疗数据。这是荷兰数据保护局第三次对Uber处以罚款:2013年罚款1,000万欧元，2018年罚款60万欧元。

美国商务部拟借口“国家安全”禁用我国网联汽车软硬件系统

9月22日，美国商务部工业安全局（BIS）近日发布一项拟议规则，旨在禁止在网联汽车中使用来自我国生产的硬件和软件组件系统。这一举措主要针对车辆连接系统（VCS）和自动驾驶系统（ADS），其宣称是为了保护美国国家安全和驾驶员安全，防范网络威胁。

VCS是使车辆能与外部通信的硬件和软件系统，包括远程信息处理控制单元、蓝牙、蜂窝、卫星和Wi-Fi模块。ADS则是允许高度自主车辆无人驾驶的软件系统。如果该规则通过，将禁止进口和销售在VCS或ADS中整合了我国制造组件的车辆。此外，与我国有关联的制造商将被禁止在美国销售包含VCS硬件或软件或ADS软件的连接车辆，即使车辆是在美国制造的。

该禁令计划分阶段实施：软件禁令将于2027车型年生效，硬件禁令将于2030车型年或2029年1月1日起（对于没有车型年的单元）开始生效。目前，BIS正在对这一拟议规则征求公众意见。

特斯拉、比亚迪、蔚来等6家车企首批获得国家汽车隐私保护标识

11月8日，“汽车隐私保护”标识在2024中国汽车软件大会上正式发布，中国汽车工业协会总监韩昭，中国电子技术标准化研究院、网络安全研究中心数据安全部主任郝春亮共同为首批通过测评的比亚迪DM-i及其相关车型、蔚来ET7及其相关车型、理想L9及其相关车型、路特斯Eletre、特斯拉Model Y及其相关车型、哪吒S等20余种车型颁发证书。会上同时授权相应车辆使用“隐私保护”标识。