2024年08月23日 星期五
對頻頻的騷擾電話顯得無可奈何,不知道自己的手機號碼等資訊已被賣給了多少人——有類似經歷或許不止周畫(化名)一個人。近日,有媒體發表文章稱, 有駭客在網路上兜售車主資訊,只有姓名、手機、城市和意向車款的詢價資訊要價一塊錢一條。該媒體稱,雪鐵龍車主資訊洩露規模或超10萬條。此前,曾有白帽 子(不惡意利用安全漏洞的駭客)向網際網路安全漏洞報告平臺——烏雲網提交名為“東風雪鐵龍某後臺弱密碼可導致全國幾百個經銷商賬號與大量個人數據洩露”的 漏洞。該平臺上顯示的漏洞狀態是,漏洞已通知廠商但廠商忽略該漏洞。
記者就用戶資訊洩露一事向東風雪鐵龍求證時,該公司內部相關人士回應稱,東風雪鐵龍的客戶數據存放在專業數據庫中,並設多道防火 墻,對數據庫設有監控及記錄,對用戶資訊做足了保密工作。有業內人士分析指出,雪鐵龍車主資訊遭洩露不排除是東風雪鐵龍經銷商的網站或合作的汽車垂直網站 遭駭客攻擊竊取用戶資訊。此外,個別4S店或汽車垂直網站的內部員工也可能存在賣數據的情況。
車企在資訊安全方面的投入不足已經越來越成為其軟肋。2011年至今,“白帽子”在網際網路安全漏洞報告平臺烏雲網上共提交有關於車企網站的漏洞達 58個,其中近一半的漏洞都可能造成網站用戶的資訊洩露,背後涉及到百萬車主的資訊安全。包括寶馬、奧迪、大眾、賓士、凱迪拉克在內的多家汽車廠家網站都 被發現涉及用戶資訊洩露的漏洞,而絕大多數漏洞狀態都是未聯繫到廠商或者廠商忽略。
網路安全投入不足
目前,汽車這個行業缺乏成熟的網路安全管理體系,網路運營人員的安全素質有待提高,很多車企網站是外包給第三方公司開發的,沒有交付資訊安全公司進行評估,因此更有可能留下資訊安全風險。
“在大數據時代,用戶隱私遭洩露的問題日益突出。如同許多傳統製造行業中的企業一樣,車企亟待轉化網際網路思維以及加強網際網路安全管控等。不過,要跟 上網際網路發展的步伐不太容易。例如,從人才方面看,隨著網際網路快速發展,系統安全工程師、系統架構工程師以及數據分析工程師等人才緊缺,這類專業人才往往 集中在網際網路企業,薪酬也較高,而車企相對缺乏這類人才。”從事網際網路行業的業內人士阮喜海接受記者採訪時談道。
另一位從事網路安全方面的專業人士接受記者採訪時也談到,網路安全管理體系方面投資非常大,涉及人才、軟體、硬體、服務以及管理等 方面,網際網路企業也是一步步投入不斷完善。目前,不同行業在網路安全方面投入比例不一,預計汽車行業在網路安全方面投入往往較少,一些車企為了節約成本, 往往將數據庫、伺服器都放在公網上,這樣很容易被駭客攻破。
“一旦發現系統有漏洞,將及時採取主動或被動措施,在認證授權系統中對伺服器設置許可權管理,以及與經銷商、汽車垂直網站等簽署保密協議等,這些措施 在一定程度上將可防止用戶數據洩露。不過,許多車企都未能建立起一套行之有效的網路安全管理體系,除了投入大這一因素之外,往往對網路安全意識也不強,畢 竟與網際網路融合時間不長。”上述網路安全人士稱。
車聯網安全備考
烏雲網合夥人鄔迪接受記者採訪時稱,儘管網路安全目前投入成本大,又未直接産生經濟效益,但到將來網際網路時代,安全可能是個賣點,部分傳統的車企或許還沒有注意到這點。“烏雲上有不少因聯網漏洞可導致車輛被控制,這將會導致行車安全問題。”鄔迪説。
駭客防不勝防,令車企煩惱的不僅是車主資訊被洩露這一困擾。隨著越來越多車企踴躍加入車聯網浪潮中,資訊安全隱患也隨之而來。早在2013年,美國 國家公路交通安全管理局已經認識到汽車內需要安置不相容系統,並設立了專門機構,負責車輛網路安全問題。現在汽車與網路的聯繫越來越緊密,以後將能夠與周 圍環境交流。如果車輛被駭客軟體侵襲,車輛可能會發生嚴重的交通事故。
美國馬薩諸塞州參議員Ed Markey辦公室今年發佈一份報告,指出很多汽車製造商沒有準備好解決汽車潛在的資訊安全問題。Markey的辦公室發函詢問19家包括寶馬、通用、本 田等主要的汽車製造商,比如現在的汽車一般採用了哪些新技術,收集到個人駕駛資訊如何管理以及採取哪些措施防止駭客攻擊等,其中16家回復發函。遺憾的 是,這些在車上部署無線技術的公司對問題中的概念甚至表示無法理解。該報告指出,在接受調查的這些公司中,有兩家表示能夠診斷或者反饋駭客入侵後的情況, 有一家公司表示能夠及時檢測駭客入侵,剩下的公司表示這些用來保證安全的無線技術“不會被駭客用來入侵”。其實,像車上的資訊娛樂系統和導航系統,很可能 通過聯網技術,被惡意軟體或者駭客攻擊。
2015年2月2日,德國汽車協會ADAC在一份報告中稱,勞斯萊斯幻影、MINI掀背車和寶馬i3電動車在內的絕大部分寶馬品牌車型存在設計缺 陷,大約有220萬輛配備ConnectedDrive數字服務系統有安全漏洞,駭客可利用這些漏洞遠端打開車門。不過,寶馬方面表示已經升級該數字系 統,解決資訊安全的問題。
