豐田/大眾/通用為什么干不過黑客，“防火墻”吃干飯的嗎？

數據正在成為影響智能網聯汽車發展的關鍵因素，以至于在一些業內人士看來，“數據已經成為一種新型燃料，具有很高的發展價值，就像鋰礦一樣。據IHS Markit統計，根據目前智能網聯汽車在全球年度新車出貨量中的增長率，預計到2025年，智能網聯車輛在全球市場的滲透率將達到60%，中國市場將超過75%。因此，由于預期的良好前景，一些車企將數據視為一個重點，不僅可以提高與終端用戶的互動水平，還可以創新汽車智能技術，加快數據處理和應用潛力的研究，并深入挖掘其中包含的商業價值。然而，隨著數據的商業價值在智能汽車生態系統中逐漸顯現，相關數據也引起了非法團伙的注意。近年來，針對汽車公司和相關供應鏈制造商的網絡攻擊越來越頻繁，導致一些公司和用戶的數據丟失、泄露和非法竊取。新年伊始，豐田印度公司報告其子公司豐田Kilosca Motors的數據泄露，一些客戶信息已在互聯網上曝光。盡管豐田印度沒有透露此次事件中泄露的數據規模和受影響的客戶數量，但根據其公開聲明，該公司是在收到服務提供商的通知后才得知泄露問題的，表明其尚未建立有效的信息安全管理機制。對此，豐田印度公司表示，將加強其子公司與其服務提供商之間的合作，遵循現有準則加強管理程序，并努力消除事件造成的任何潛在客戶困擾。這并不是豐田最近遭遇的唯一一次數據泄露事件。2022年10月，豐田的遠程車內信息通信服務T-Connect出現漏洞，導致約29.6萬條與客戶電子郵件和客戶號碼有關的數據信息泄露。據悉，T-Connect服務包括遠程啟動、車內Wi-Fi設置、檢查汽車狀態等功能，用戶可以通過附帶的應用程序在手機上控制車輛。然而，由于其需要綁定到車輛的特殊性，這意味著該服務與姓名、電話號碼、信用卡等個人敏感信息相關聯。豐田立即警告用戶注意其電子郵件接收垃圾郵件和釣魚電子郵件的風險。隨后對該事件的調查顯示，該漏洞源于2017年底T-Connect網站開發承包商的誤操作。當時，開發人員將一些網站公共配置文件中的信息上傳到開源代碼平臺，并錯誤地將權限設置為“公共”，允許第三方使用配置文件中信息入侵系統。豐田表示，這起事件主要影響自2017年7月以來使用其電子郵件地址在服務網站上注冊的個人客戶群，目前尚未收到任何客戶信息被濫用的報告。然而，由于無法確認是否有第三方訪問了客戶信息，此次事件仍存在一定的安全風險。

在汽車行業所有造成用戶信息泄露的事件中，豐田近30萬的數據信息泄露甚至不是最“嚴重”的后果。與大眾汽車集團330萬客戶信息泄露的事故相比，影響確實有限。2021 6月，大眾汽車集團表示，由于供應商在2019年8月至2021 5月期間在互聯網上“無保護”地保留客戶數據，包括相關客戶和潛在買家的姓名、地址和電話號碼在內的個人信息被泄露，供應服務涉及大眾汽車和奧迪在北美的官方經銷商系統，因此，大約90000條與貸款資格和社會保障號碼有關的個人隱私信息同時被披露。事實上，針對制造業企業的網絡攻擊頻率正在逐年增加。根據IBM安全情報部門的一份報告，早在2021，制造業就出現了盈余……

打擊了金融和保險行業，成為受網絡犯罪團伙攻擊最嚴重的行業。在汽車領域，智能網聯技術應用的加速投入和信息安全管理的有限提升之間的不均衡發展，使得以車企客戶信息為代表的數據成為網絡攻擊和盜竊的“突破口”。除了前面提到的豐田和大眾，通用汽車還受到傳統汽車巨頭大規模用戶信息泄露的困擾。2022年5月，通用汽車公司在一些在線客戶賬戶中發現了可疑登錄，并在未經用戶授權的情況下用獎勵、積分和其他福利換取禮品卡。盡管這一功能立即被通用方禁用，但入侵者仍然通過APP程序獲得了與個人隱私相關的賬戶綁定信息。此外，奧迪、梅賽德斯-奔馳、NIO和其他公司最近報告稱遭遇了類似的網絡攻擊，被盜數據也集中在用戶和銷售信息上。黑客通過未經授權訪問這些“低保護”的高價值數據，通過勒索、公開銷售和其他手段非法獲利。2022年底，黑客根據從NIO竊取的基本用戶信息和車輛銷售信息等內部數據，勒索了225萬美元的比特幣等價物。去年11月，勒索軟件組織LockBit對大陸集團發動了網絡攻擊，竊取了約40TB的海量數據。據德國《商報》報道，黑客在黑暗的互聯網上發布了一份數據清單，其中包括預算、投資和戰略計劃等重要文件，以及與大陸集團一些客戶有關的信息。隨后，以大陸集團“顯然不想支付贖金”為由，黑客以5000萬美元的價格公開出售了這些數據。在汽車公司和相關供應鏈制造商受到越來越多的網絡攻擊的背后，由于智能網聯汽車系統對車輛數據信息的需求突然增加，無疑有一個客觀因素加劇了當前車輛用戶的數據泄露風險。以汽車計算機系統日益豐富的功能為例，隨著汽車計算機功能便利性技術指標的提高，用戶操作汽車應用程序的流程與移動設備的流程幾乎一致。這意味著用戶需要與車輛共享更多的個人信息，包括生物特征、網絡瀏覽記錄、消費以及視頻和音頻采集等一系列數據，以評估應用程序Collect數據在訂閱反饋和其他方面的使用情況。另一方面，在車輛運行過程中，毫米波雷達、攝像頭、車輛以太網等傳感硬件以及相應的網絡系統不斷生成和收集與道路信息和駕駛行為相關的數據，并對這些系統進行監控。因此，應用程序邊界不明確的大規模數據收集確實可能會帶來從其他用戶或實體過度收集信息的風險，例如“車輛互聯”和“哨兵模式”類似功能，這些功能因監管問題已對一些車型關閉。同時，從車企的智能化發展過程來看，目前有相當一部分公司采用外包的方式開發智能網聯軟件系統，而這些軟件系統往往不包含在車企的信息安全體系中。這里值得一提的是，由于汽車軟件系統的需求越來越復雜，單個系統的外包開發可能同時有多個供應商。通常，汽車公司要求以協作方式工作的供應商在開發完成后將其負責的部件上傳到特定的帳戶地址，然后集成不同的軟件部件。然而，在上傳過程中很難確保工作程序在安全流程內，例如前面提到的大眾集團供應商遇到的權限設置不正確等安全風險。此外，從盜賊入侵和獲利的容易程度來看，包含用戶隱私的數據信息往往以非法方式具有很高的價值。尤其是車企往往將大量數據聚合到某個后端信息數據庫中，在遭到攻擊和竊取后，容易引發單一的大規模泄漏事件。

……

因此，對于與智能網聯汽車發展密切相關的大規模數據，僅靠車企所具備的信息安全能力來應對無休止的網絡攻擊在短期內仍存在重大挑戰。然而，數據采集和信息安全發展不均衡的現狀也在推動新的產業生態系統的興起，比如數據脫敏服務。2022年11月，數據技術公司Privacy4Cars宣布，它已獲得美國專利商標局的一項新專利，通過使用手機等終端設備刪除車輛上的私人信息。據報道，Privacy4Cars提供的數據工具目前可以管理和跟蹤個人數據的刪除，包括電話號碼、通話記錄、短信、位置歷史記錄和其他信息。該公司表示，這套工具可以作為消費者的免費下載應用程序，并將為企業提供訂閱服務。汽車企業可以使用Privacy4Cars的獨立應用程序，也可以選擇集成軟件開發工具包，以便于將數據刪除解決方案嵌入現有應用程序。防火墻的建設仍在繼續。目前，在中國，智能網聯汽車行業發展面臨的隱私數據處理問題正在從信息收集標準化和數據安全保護的角度得到解決。在立法層面、準入試點和行業標準推廣等方面，正在建立相應的“防火墻”制度。首先，為了加強對個人信息和重要數據的保護，規范汽車數據處理活動，國家互聯網信息辦公室和有關部門發布了《汽車數據安全管理若干規定》，對個人信息或重要數據的處理提出了明確要求，并規定運營商每次收集敏感信息時必須獲得駕駛員的授權。工信部還在現有國家汽車互聯網行業標準體系的基礎上，組織編制發布了《汽車互聯網網絡安全與數據安全標準體系建設指南》，指導相關標準的制定。同時，工信部還在《智能網聯汽車接入試點公開征求意見》附件中提出了試點過程中生產企業數據安全保障能力的考核要求。其內容包括企業需要采用數據加密、脫敏、可追溯和審計等技術，以確保數據活動的合規性和安全性。從技術實施到實施，定期進行數據安全風險評估，并制定相應的應急措施。將于2023年5月1日起實施的推薦標準GB/T41871-2022《信息安全技術——汽車數據處理的安全要求》進一步細化了《汽車數據條例》的規定。它從汽車數據處理活動的一般安全、外部數據安全、駕駛艙數據安全和管理安全四個方面對汽車數據處理器提出了要求，還規定了不適用于本標準的特殊汽車數據處理行為。該標準為汽車數據處理者提供了相對詳細的指導，要求他們在現有法律框架內，基于不同場景對汽車數據處理過程和范圍進行解構和分析，并及時調整相應的合規制度和措施。除了發布上述法律法規和推薦標準外，相關行業組織還根據《汽車數據條例》章程制定了數據安全行為規范和團體標準，加強行業自律，引導會員加強數據安全保護，提高了數據安全保護水平，促進了行業的健康發展。目前，中國汽車工業協會已經起草了行業數據安全行為準則草案，未來將征求行業企業更廣泛的意見，形成行業公約在行業內發布。在團體標準方面，2022年8月，《脫硅技術要求和方法……》……

汽車變速器視頻和圖像的數字化“集團標準發布，為行業企業開發和驗證汽車變速器視頻和圖像中的面部和車牌數據的匿名化處理提供了指導和建議。此外，依托上海汽車檢測，在此基礎上進行了一系列企業車載數據匿名化系統測試ard。通過數據收集和真實注釋進行匿名性能比較，評估標準中與數據安全相關的指標，并提供相應的測試報告。

標簽：豐田大眾奧迪蔚來遠程

汽車資訊熱門資訊