BBA也無法幸免,這些汽車品牌曾被黑客攻擊
3月22日,世界黑客大賽(Pwn2Own)在溫哥華拉開序幕。2023 Pwn2Own為期三天,主辦方為本屆比賽總計準備了108萬美元獎金,來自全球各個國家和地區的安全專家大展神通,紛紛向知名品牌發起網絡攻擊。
在Pwn2Own大賽上,就有黑客成功攻破特斯拉汽車安全防護,而且是攻破了“兩次”,也因此獲得了大量的賞金。
第一天,Synacktiv團隊演示了針對特斯拉Gateway 的 TOCTOU的競態條件漏洞攻擊。他們獲得了 10萬美元和 10 個 Master of Pwn 積分,并額外獲贈了一輛特斯拉Model 3。第二天,Synacktiv的其中兩名對員再度發起攻勢,他們在成功實施堆溢出和 OOB 寫入利用鏈攻擊后獲得了25萬美元獎金。
黑客們似乎“偏愛”特斯拉,多年來一直在尋找該品牌汽車存在的漏洞。某黑客團隊曾在特斯拉Model3的網絡瀏覽器中找到漏洞,得以進入Model3汽車計算機系統,并在車內儀表顯示屏上留下“到此一游”。為此特斯拉獎勵黑客團隊3.5萬美元及一輛同款車。
2020年,一名“黑客”針對特斯拉開發了一種密鑰克隆“中繼攻擊”,并且在Model X上進行演示。只需要90秒,黑客就能進入車內,再用1分鐘注冊自己的汽車鑰匙,開車走人,全套攻擊迅速完成。當時特斯拉著急忙慌地發通告,并且立刻推出新的補丁。
不僅僅是特斯拉,事實上,近年來有很多車企也同樣受到了來自黑客的攻擊。
據相關數據統計,自2020年12月至今共有980余起與車企數據泄露發生,除去部分重疊售賣的信息,平均每月就有7起車企數據泄露時間在暗網平臺發布。在這些被販賣的泄露數據當中,98%的泄露數據都是來自于各個車企的車主數據,其獲取的渠道除了來自車企外,也有可能來自車管所、經銷商以及第三方平臺等等。
我們一起來看看近年以來,還有哪些代表汽車車企被黑客攻擊。
法拉利被黑客攻擊
3月下旬,豪華汽車品牌法利亞公司在收到勒索組織的贖金要求后,披露了數據泄露事件。法拉利在發給客戶的違規通知信中說:“我們很遺憾地通知您法拉利發生了一起網絡事件,威脅行為者能夠訪問我們 IT 環境中的有限數量的系統。”
法拉利表示,事件中暴露的客戶信息包括姓名、地址、電子郵件地址和電話號碼。到目前為止,法拉利尚未找到付款細節、銀行帳號或其他敏感付款信息被訪問或竊取的證據。法拉利已采取措施保護受損系統,并表示此次攻擊對公司的運營沒有影響。
發現漏洞后,法拉利還向有關部門報告了此次攻擊,并正在與一家網絡安全公司合作調查影響范圍。該公司補充說:“作為一項政策,法拉利不會被勒索贖金,因為支付此類贖金會為犯罪活動提供資金,并且會進一步促進勒索組織發起更多勒索攻擊。”
蔚來遭遇勒索攻擊
2022年12月20日,蔚來首席信息安全科學家、信息安全委員會負責人盧龍在蔚來官方社區發布公告稱,12月11日,公司收到外部郵件,聲稱擁有蔚來內部數據,并以泄露數據勒索225萬美元等額比特幣。
在收到勒索郵件后,公司當天即成立專項小組進行調查與應對,并第一時間向有關監管部門報告此事件。經初步調查,被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。
蔚來方面表示,對于此次事件給用戶造成的影響深表歉意,并承諾對因本次事件給用戶造成的損失承擔責任。竊取、買賣此類數據是違法犯罪行為,公司對此予以嚴厲譴責,也堅決不會向網絡犯罪行為低頭。
隨后,蔚來創始人、董事長、首席執行官李斌在蔚來官方社區致歉。李斌表示,保護好用戶信息安全是我們的責任,我們沒有做好,向大家深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。我們不會與不法行為妥協,也請大家及時提供線索。
豐田T-connect服務致數據泄露
2022年10月7日,豐田汽車發布聲明稱,使用其T-connect服務的296019名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶管理號碼等,但其他敏感信息如姓名、電話號碼和信用卡信息等均未受到影響,對T-Connect服務本身也沒有影響。
豐田稱,可能受影響的主要是在2017年7月之后使用電子郵箱注冊豐田汽車T-connect服務的客戶。此前豐田確認了T-Connect的用戶網站的源代碼的一部分,在GitHub(軟件開發的平臺)上被公開,其中包含對數據服務器的訪問密鑰,通過使用該密鑰,可以訪問數據服務器中保存的郵件地址和客戶管
理號碼。
雖然豐田立即將GitHub上的該源代碼非公開化,并于9月17日變更了數據服務器的訪問密鑰。安全專家調查稱,雖然不能從存儲有客戶的郵箱地址和客戶管理號碼的數據服務器的訪問歷史中確認第三方的訪問,但也不能完全否定這一可能。
大眾集團330萬數據泄露
2021年10月,大眾和奧迪約330萬車主和潛在客戶的個人數據信息被泄露,包括姓名、地址、手機號碼、電子郵件,以及一些駕照號碼、車牌號碼、貸款號碼等。記者調查發現,汽車公司的信息泄露事件時有發生。有網絡安全專家曾經說過,汽車企業應該對數據的存儲、使用和傳輸進行更全面的管理和控制。
數據泄漏發生的原因是,2019年8月至2021年5月,一家供應商在互聯網上留下了"不受保護的"客廣數據。大眾汽車、其子公司奧迪,以及美國和加拿大的官方經銷商都使用該供應商的服務。在某些情況下,這些基本信息數據包括電話號碼、電子郵件地址、郵寄地址和車牌號碼。
該公司已經聯系了美國的9萬余客戶,主要是奧迪的客戶,因為他們在這次泄露中暴露了特別敏感的信息。這包括駕照號碼、社會安全號碼、在大眾或奧迪的網站賬號以及出生日期。該公司為那些敏感信息被泄露的人提供免費的信用保護。
此外,奔馳也曾發生數據泄露。2021年,梅賽德斯奔馳美國公司承認,因為操作不當泄露了近1000名奔馳用戶和少部分潛在買家的隱私數據,而這些數據的泄露是在一個云存儲平臺上,整個泄露事件完全出于無意,并不涉及任何利益交換。
這些泄露的數據包括自2014年1月至2017年6月期間客戶和潛在買家在經銷商和公司網站上輸入的自報信用分數、駕駛執照和社會保險號碼以及信用卡信息等,屬于非常核心的私人信息。不過奔馳美國公司官方宣布,這起信息泄露事件并未造成很大損失,恰當的操作也沒有讓這些數據被濫用。奔馳美國公司給被泄露信息的用戶和潛在消費者免費提供了為其兩年的信用監控服務,確保私人信息安全。
車企頻頻曝出安全漏洞
當下汽車行業正在進入智能網聯新時代,更多的汽車被賦予智能、互聯的特性之后,越來越多的車企紛紛曝出存在后門漏洞。
例如在2022年,現代汽車APP就被曝出存在一個重大安全漏洞。利用這個漏洞,黑客可以遠程解鎖、啟動汽車。更令業界感到驚訝的是,這個漏洞已經存在了10年之久,影響了自2012年生產的現代汽車,以及旗下高端品牌捷尼賽思汽車。但現代汽車發布公告稱,該漏洞并未被廣泛利用。
根據網絡安全研究人員Sam Curry的說法,原本現代和捷尼賽思汽車的APP僅向授權用戶提供車輛的控制權限,但是,該APP與授權服務器的通信之間存在一個嚴重的安全漏洞,導致攻擊者可以輕易取得相應的權限。
而在2023年1月,更有媒體爆料稱,近 20 家汽車制造商和服務機構存在 API 安全漏洞,這些漏洞允許黑客進行遠程解鎖、啟動車輛、跟蹤汽車行蹤,竊取車主個人信息的惡意攻擊活動。
據悉,API 漏洞主要影響寶馬、羅爾斯、奔馳、法拉利、保時捷、捷豹、路虎、福特、起亞、本田、英菲尼迪、日產、謳歌、現代、豐田和創世紀等其知名汽車品牌。此外,漏洞還影響汽車技術品牌 Spireon 和 Reviver 以及流媒體服務 SiriusXM。
網絡安全研究員 Sam Curry 和其研究團隊,在數十家頂級汽車制造商生產的車輛和車聯網服務中,發現了API 漏洞問題。此前,Sam Curry于 2022 年 11 月披露了現代、Genesis、本田、謳歌、日產、英菲尼迪和 SiriusXM 的安全問題。
正如中國工程院院士、國家數字交換系統技術研究所所長鄔江興所說的那樣,一部汽車有幾十億條的代碼,其中必然存在各類安全漏洞。借助漏洞,攻擊者完全可以發起更大規模的網絡攻擊,汽車行業面臨的安全威脅前所未有。一旦漏洞利用成功,黑客可以遠程控制車輛,甚至可以查看車主的電子郵件、瀏覽手機通訊錄、進行遠程定位,甚至是獲取車主在車內的所有電子設備信息。
所幸我國對于汽車行業的安全問題和數據泄露問題有所重視,近年來持續頒布各類網絡安全法規、政策,進一步規范化汽車安全行業的基本準則。
例如,我國已經陸續發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》《汽車數據安全管理若干規定 ( 試行 ) 》《車聯網網絡安全和數據安全標準體系建設指南》等法規,明確了車企在數據收集、保管、使用方面的責任和義務。
