寶馬確認發生數據泄露事件,智能化時代的信息安全如何保障

张家栋[email protected]

(文/張家棟 編輯/張廣凱)

近日,全球知名汽車製造商寶馬公司發生一起嚴重的數據泄露事件。

據研究人員Can Yoleri報告,他在例行掃描中意外發現,寶馬在微軟Azure平台上的雲存儲服務器配置錯誤,被設置為公共訪問狀態,而非計劃中的私有狀態。這一配置錯誤導致寶馬的私鑰、內部數據以及其他敏感信息暴露於公眾視野。

Yoleri在詳細報告中指出,這個被錯誤配置的服務器中包含了大量的敏感信息,其中包括Azure的訪問信息、訪問私有存儲服務器地址的密鑰,以及其他與寶馬雲服務相關的詳細信息。

TechCrunch報道稱,此次暴露的數據中包括了寶馬在中國、歐洲和美國的雲服務私鑰,以及生產和開發數據庫的登錄憑證。

儘管寶馬的發言人表示,此次事件並未影響客户或個人數據,但此事件無疑對寶馬的信息安全公信力提出了嚴峻的考驗。

該發言人還補充道:“寶馬集團已於2024年初修復了這一問題,我們將繼續與合作伙伴一起監控情況。”

不過,Yoleri 指出,寶馬尚未撤銷或更改在被暴露的雲存儲服務器中發現的密碼和憑證。

近年來,隨着“軟件定義汽車”概念持續深入人心,智能網聯汽車市場地位不斷提升。隨着智能化技術快速發展,軟件、芯片以及大數據成為智能網聯汽車的重要組成部分。

然而,在上述配置為消費者帶來更加便捷出行體驗的同時,其中藴含的危險因素也不容忽視。

2020年,特斯拉曾因系統宕機導致數以萬計的車主無法通過App連接汽車;2021年年初,一則國外黑客,通過特斯拉車內攝像頭,獲取其拍攝的車內畫面曾在社交媒體平台上廣泛傳播並引起關注。

對於該事件,特斯拉官方發表聲明稱:“駕駛室攝像頭目前在北美以外的市場並沒有激活。即使是在美國,車主也可以自由選擇是否開啓使用。”

但即便馬斯克在2021年中國發展高層論壇上特意強調:“特斯拉是不會將收集到的數據用於間諜活動的,因為這樣會讓發展受到嚴重的影響,我們願意採取最高等級的保密措施,希望和大家共創互信的未來。”甚至還在中國建立數據中心,但其品牌形象所遭受的損失,卻難以挽回。

2022年,蔚來也曾被曝出有不法分子在網上出售蔚來相關數據,並以泄露數據為由,向蔚來勒索價值225萬美元等額的比特幣。事後,蔚來董事長李斌同樣在社羣中向車主與外界做出道歉,並作出回應稱:“堅決不和犯罪分子妥協,不做賠付的先河。哪怕公司賠破產了,也不會妥協。”

儘管從結果來看,無論是特斯拉被黑客的襲擊,還是蔚來遭受的不法分子侵擾,近年來的數起大規模車輛數據泄露事件都未造成太過嚴重的後果,但事實上,這些數據不止能被拿來敲詐勒索,此類信息也易於被不法分子竊取並販賣,並帶來身與財的“精準打擊”。

此前,有業內專家分析指出:“一輛智能網聯汽車每天至少收集10TB的數據,不僅數量極大,而且涉及駕乘人員的出行軌跡、習慣、語音、視頻等關鍵信息,一旦遭受侵害會泄露個人隱私。”

進入2024年,可以預見的是,伴隨着車聯網應用與智能駕駛等技術的進一步上車拓展,汽車攝像頭、激光雷達等各類傳感器更多,採集到的信息很有可能涉及敏感地點,即內容非法;一些激光雷達精度很高,也可能造成精度非法。

去年,便有多起車內攝像頭拍攝的視頻片段流露至社交媒體,引起廣泛關注的案例。

而年底某汽車媒體在冬測後,多家汽車廠商調取後台車輛數據的做法,也令消費者對行車數據的安全與保密性產生了一定的擔憂。

據去年滿意度調查機構J.D.Power的調研數據顯示,有90%的用户更傾向於數據安全防護高的汽車品牌。

業內人士指出,數據跨境傳輸一直缺乏有效的監管機制,但涉密數據跨境傳輸對國家安全影響極大,且一旦數據傳出,後期整治、修補的難度更大。

工信部此前發文表示,伴隨汽車網聯化發展,網絡攻擊威脅加速向車端、車聯網平台蔓延,車聯網網絡安全事件不僅影響公民隱私、財產和生命安全,甚至可能危害社會安全和國家安全。

也正是因此,從2021年至今,全球多數國家和地區均在不斷完善針對汽車產品的隱私和數據保護的相關法律法規。

以中國為例,目前,國家互聯網信息辦公室已經在室務會議審議通過《汽車數據安全管理若干規定(試行)》條例,即從政策層面對汽車數據從收集、分析、存儲到傳輸、查詢、應用和刪除等全流程作出了較為詳細的規定。

同時,在信息安全的運營端方面,車企則需要承擔起相應的信息數據安全採集與防護責任。

在中國車企中,長城汽車針對信息安全,從雲端進行了全方位安全設計,並與國家互聯網應急響應中心、奇虎360、百度安全實驗室、中國汽車技術研究中心等機構合作,先後成立安全共建實驗室、開展信息安全方面的技術研究等,以提高整車信息安全防護水平。

比亞迪則積極開展各項數據安全與合規的認證工作。目前,比亞迪已獲得R155(CSMS)、R156(SUMS)體系認證等安全認證,並通過了國家信息安全等級保護三級認證。

理想汽車則採取全流程數據加密監控,從設計、研發到生產,每個階段的安全都全程介入,同時實現分域隔離、縱深防禦,對供應商進行安全管控,掌握安全的主動權。

但誠如本次寶馬數據泄露事件的發生,即便在較為完善的政策監管以及技術保護下,大型企業似乎也難以完全避免信息技術管理上的疏漏。

信息安全專家指出,雲存儲服務器的配置錯誤可能導致多種安全風險。私鑰的泄露可能會使通信和數據傳輸面臨中間人攻擊的風險,而生產和開發數據庫的登錄憑證泄露則可能導致未經授權的訪問,甚至可能引發更大規模的數據泄露。

而對於全球汽車企業而言,寶馬的信息泄露只是在智能化技術快速發展之路上的又一次警示,信息安全的技術與管理的比拼,同樣是激烈廝殺的智能化技術內卷這張明牌下的潛在競爭。