安全保密
近年来,车联网产业快速发展,智能化、网联化水平不断提高。与此同时,互联网安全威胁逐步向车联网领域渗透,车联网网络安全风险和挑战日益显现。智能网联汽车、车联网平台等网络攻击对象更为广泛,通信劫持、漏洞利用、平台攻击等控制车辆网络的攻击途径更加多样。
沃尔沃被曝用户私人数据泄露
沃尔沃作为一家瑞典豪华汽车制造商,旗下拥有超过9万名员工,每年能够销售近70万辆汽车。沃尔沃的客群基本上是一些有一定经济实力的客户,这对于一些犯罪分子来说无疑是块极具吸引力的“肥肉”。
据网络新闻研究小组调查发现,巴西的沃尔沃汽车零售商Dimas Volvo在近一年时间里都在持续通过其网站泄露敏感文件,这些信息可能会被一些不怀好意的人拿来用于劫持官方通信渠道或者直接入侵公司的系统。
研究团队发现,泄露的信息不仅包括数据库的认证信息,还包括了MySQL和Redis数据库主机、开放端口和证书信息等。攻击者只需用这些凭证就能进一步利用数据库的内容,而数据库内很可能存储了用户的私人数据。
不仅如此,研究人员还偶然发现了该网站的Laravel应用程序密钥。这个密钥一旦泄露了风险极高,因为它可能被用来解密用户的cookies,而这些cookies通常包含用户的一些凭证信息或会话ID这些敏感信息,而攻击者可以利用这些数据来劫持这些人的账户。
在泄露的数据中,研究人员还发现储存网站源代码的Git库的URL,会直接透露出数据库的名称和创建者。这些攻击者仅需一个密码,再配合泄露的凭证信息就能强行访问数据库,这比同时去猜测出用户名以及密码之后才能访问数据库的方式要快得多。
汽车行业的数据泄露情况并不是个例
沃尔沃这次的客户信息泄露事件,在整个汽车行业里并不是个例。
此前每年生产约250万辆汽车的德国豪华汽车制造商宝马公司,其客户的敏感信息也曾被公开过,攻击者会直接窃取宝马意大利网站的源代码和客户信息。
之前在意大利,日本跨国汽车制造商丰田也曾不小心出过类似的事情。在客户信息泄露的整整一年半的时间里,攻击者都能直接给丰田的客户在网上直接发些钓鱼活动,这对那些客户的信息安全造成了很大的威胁。
路透社发现,在 2019 年至 2022 年期间,自动驾驶汽车生产商特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。他们还分享了一些图片,例如狗的图片和有趣的路标,员工在将它们发布到私人群聊之时,会刻意取一些吸引眼球的标题。据几位前雇员称,虽然有些帖子只在两名员工之间共享,但其他帖子可能会被数十名员工看到。
当前,车联网数据全生命周期的安全保障能力不足,数据处理活动不规范问题十分突出,国家重要数据和个人敏感信息面临泄露风险,以下这些环节,一定要注意。
在数据收集使用环节,存在未经用户明示同意收集使用用户身份信息、驾驶信息、位置信息等敏感信息等问题;在数据存储和传输环节,存在敏感信息明文存储、非加密传输等安全隐患。在数据使用环节,存在数据共享利用不规范问题和数据跨境传输安全问题。
伴随高级别自动驾驶规模商用,数据作为驾驶智能化升级的关键要素,在带动技术产业模式变革的同时,也将对产业安全产生深远影响。
参考来源:FreeBuf、中国信息安全
