繼蔚來后，又一老牌車企泄露200GB用戶數據

法國網絡安全機構 Anis Haboubi 近日注意到，一名攻擊者在一個流行的黑客論壇上出售據稱從沃爾沃汽車公司竊取的數據。

2022 年 12 月 31 日，論壇上一位昵稱為 IntelBroker 的成員宣布，VOLVO CARS 成為勒索軟件攻擊的受害者。他聲稱該公司遭到 Endurance 勒索軟件團伙的襲擊，攻擊者竊取了 200GB 的敏感數據，這些數據現在正在出售。

此次攻擊者并未索要贖金反而公開出售這些數據的原因是因為他們并不認為受害人會支付贖金。

在出售的數據包括：數據庫訪問、CICD 訪問、Atlassian 訪問、域訪問、WiFi 點和登錄、身份驗證承載、API、PAC 安全訪問、員工列表、軟件許可證以及密鑰和系統文件。

同時，在出售的數據中還包括所有現有車型和未來車型的信息，并發布了一系列截圖作為黑客攻擊的證據。

目前沃爾沃公司并未對此事件進行回應，因此尚無法確定被泄數據的真實性。但是在2021 年 12 月，瑞典汽車制造商沃爾沃汽車公司透露攻擊者從其系統中竊取了研發數據，此后數據并未公開，也沒有收到任何勒索信息。因此，此次公開出售的數據尚不清楚是否是2021 年數據泄露事件中的數據，或者是新的數據泄露事件。

汽車數據安全事件頻發

伴隨汽車智能化、網聯化的快速發展，以及應用場景的不斷豐富，近年來，以汽車數據為核心的新安全問題日益凸顯，汽車數據安全事件頻發。

2022年12月，“蔚來汽車數據泄露”的消息在網上傳的沸沸揚揚，被泄露的數據包括蔚來內部員工數據22800條、車主用戶身份證數據399000條，攻擊者以數據泄露勒索225萬美元的比特幣。蔚來老板李斌深夜道歉，并鄭重承諾，對因本次事件給用戶造成的損失承擔責任，并協調執法機關深入調查。

2021年6月，大眾汽車方面曾表示，有將近330萬名客戶或潛在買家的數據遭泄露。具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。

同年12月，沃爾沃汽車運營的研發數據也遭遇黑客入侵，沃爾沃稱在入侵期間公司的有限數量的研發財產被盜，并稱此次黑客攻擊“可能對公司的運營產生影響”。

2022年5月，通用汽車也曾發布聲明稱，其注意到2022年4月11日-29日期間，部分在線客戶賬戶出現了可疑登錄，導致在未經用戶授權的情況下，客戶的獎勵積分被兌換成了禮品卡。此外，同年10月，豐田汽車在一份聲明中表示，使用其T-connect服務的約29.6萬名客戶的個人信息可能已被泄露，包括電子郵箱地址和客戶編號等。

近年來，眾多汽車廠商均受到數據安全問題影響，這其中究竟是誰的責任，用戶的數據安全如何才能得到保障？

汽車數據安全如何守住底線

隨著智能汽車的快速發展，汽車數據處理能力增強，汽車數據安全暴露的風險也日益突出。

自手機與車機結合以后，汽車會存儲個人社交賬號、支付密碼、家庭信息、車架號等個人隱私數據。如果對智能汽車數據安全放任不管，會對國家和社會的安全，對個人隱私保護帶來重大隱患。

一邊是智能網聯汽車的蓬勃發展需要良好的市場環境，一邊是用戶對數據安全違法犯罪的“零容忍”。如何在保護用戶隱私、保障數據安全的同時，又不傷害到產業的健康發展？智能汽車需要守住數據安全底線。

近年來，我國也在加快制定相關法律法規，保護數據安全。其中，工信部發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》中明確，企業應當建立健全汽車數據安全管理制度，依法履行數據安全保護義務，明確責任部門和負責人。

建立數據資產管理臺賬，實施數據分類分級管理，加強個人信息與重要數據保護。建設數據安全保護技術措施，確保數據持續處于有效保護和合法利用的狀態，依法依規落實數據安全風險評估、數據安全事件報告等要求。

此外，我國首部針對汽車數據安全制定的法規——《汽車數據安全管理若干規定（試行）》則首次清晰界定了“汽車數據處理者”和“重要數據”類型等內容。

相信在未來幾年整車信息安全會有更多的行業標準出臺。從整個行業的角度進一步約束、加強立法、加速行業合作、打破數據壁壘，建立可信汽車數據流通渠道等，在滿足數據安全要求的同時，營造一個健康的市場環境。