法國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu) Anis Haboubi 近日注意到，一名攻擊者在一個(gè)流行的黑客論壇上出售據(jù)稱從沃爾沃汽車公司竊取的數(shù)據(jù)。

2022 年 12 月 31 日，論壇上一位昵稱為 IntelBroker 的成員宣布，VOLVO CARS 成為勒索軟件攻擊的受害者。他聲稱該公司遭到 Endurance 勒索軟件團(tuán)伙的襲擊，攻擊者竊取了 200GB 的敏感數(shù)據(jù)，這些數(shù)據(jù)現(xiàn)在正在出售。

此次攻擊者并未索要贖金反而公開(kāi)出售這些數(shù)據(jù)的原因是因?yàn)樗麄儾⒉徽J(rèn)為受害人會(huì)支付贖金。

在出售的數(shù)據(jù)包括：數(shù)據(jù)庫(kù)訪問(wèn)、CICD 訪問(wèn)、Atlassian 訪問(wèn)、域訪問(wèn)、WiFi 點(diǎn)和登錄、身份驗(yàn)證承載、API、PAC 安全訪問(wèn)、員工列表、軟件許可證以及密鑰和系統(tǒng)文件。

同時(shí)，在出售的數(shù)據(jù)中還包括所有現(xiàn)有車型和未來(lái)車型的信息，并發(fā)布了一系列截圖作為黑客攻擊的證據(jù)。

目前沃爾沃公司并未對(duì)此事件進(jìn)行回應(yīng)，因此尚無(wú)法確定被泄數(shù)據(jù)的真實(shí)性。但是在2021 年 12 月，瑞典汽車制造商沃爾沃汽車公司透露攻擊者從其系統(tǒng)中竊取了研發(fā)數(shù)據(jù)，此后數(shù)據(jù)并未公開(kāi)，也沒(méi)有收到任何勒索信息。因此，此次公開(kāi)出售的數(shù)據(jù)尚不清楚是否是2021 年數(shù)據(jù)泄露事件中的數(shù)據(jù)，或者是新的數(shù)據(jù)泄露事件。

汽車數(shù)據(jù)安全事件頻發(fā)

伴隨汽車智能化、網(wǎng)聯(lián)化的快速發(fā)展，以及應(yīng)用場(chǎng)景的不斷豐富，近年來(lái)，以汽車數(shù)據(jù)為核心的新安全問(wèn)題日益凸顯，汽車數(shù)據(jù)安全事件頻發(fā)。

2022年12月，“蔚來(lái)汽車數(shù)據(jù)泄露”的消息在網(wǎng)上傳的沸沸揚(yáng)揚(yáng)，被泄露的數(shù)據(jù)包括蔚來(lái)內(nèi)部員工數(shù)據(jù)22800條、車主用戶身份證數(shù)據(jù)399000條，攻擊者以數(shù)據(jù)泄露勒索225萬(wàn)美元的比特幣。蔚來(lái)老板李斌深夜道歉，并鄭重承諾，對(duì)因本次事件給用戶造成的損失承擔(dān)責(zé)任，并協(xié)調(diào)執(zhí)法機(jī)關(guān)深入調(diào)查。

2021年6月，大眾汽車方面曾表示，有將近330萬(wàn)名客戶或潛在買家的數(shù)據(jù)遭泄露。具體信息包括姓名、地址、手機(jī)號(hào)碼、郵件以及部分駕照號(hào)碼、車牌號(hào)碼、貸款號(hào)碼等。同年12月，沃爾沃汽車運(yùn)營(yíng)的研發(fā)數(shù)據(jù)也遭遇黑客入侵，沃爾沃稱在入侵期間公司的有限數(shù)量的研發(fā)財(cái)產(chǎn)被盜，并稱此次黑客攻擊“可能對(duì)公司的運(yùn)營(yíng)產(chǎn)生影響”。

2022年5月，通用汽車也曾發(fā)布聲明稱，其注意到2022年4月11日-29日期間，部分在線客戶賬戶出現(xiàn)了可疑登錄，導(dǎo)致在未經(jīng)用戶授權(quán)的情況下，客戶的獎(jiǎng)勵(lì)積分被兌換成了禮品卡。此外，同年10月，豐田汽車在一份聲明中表示，使用其T-connect服務(wù)的約29.6萬(wàn)名客戶的個(gè)人信息可能已被泄露，包括電子郵箱地址和客戶編號(hào)等。

近年來(lái)，眾多汽車廠商均受到數(shù)據(jù)安全問(wèn)題影響，這其中究竟是誰(shuí)的責(zé)任，用戶的數(shù)據(jù)安全如何才能得到保障？

汽車數(shù)據(jù)安全如何守住底線

隨著智能汽車的快速發(fā)展，汽車數(shù)據(jù)處理能力增強(qiáng)，汽車數(shù)據(jù)安全暴露的風(fēng)險(xiǎn)也日益突出。

自手機(jī)與車機(jī)結(jié)合以后，汽車會(huì)存儲(chǔ)個(gè)人社交賬號(hào)、支付密碼、家庭信息、車架號(hào)等個(gè)人隱私數(shù)據(jù)。如果對(duì)智能汽車數(shù)據(jù)安全放任不管，會(huì)對(duì)國(guó)家和社會(huì)的安全，對(duì)個(gè)人隱私保護(hù)帶來(lái)重大隱患。

一邊是智能網(wǎng)聯(lián)汽車的蓬勃發(fā)展需要良好的市場(chǎng)環(huán)境，一邊是用戶對(duì)數(shù)據(jù)安全違法犯罪的“零容忍”。如何在保護(hù)用戶隱私、保障數(shù)據(jù)安全的同時(shí)，又不傷害到產(chǎn)業(yè)的健康發(fā)展？智能汽車需要守住數(shù)據(jù)安全底線。

近年來(lái)，我國(guó)也在加快制定相關(guān)法律法規(guī)，保護(hù)數(shù)據(jù)安全。其中，工信部發(fā)布的《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》中明確，企業(yè)應(yīng)當(dāng)建立健全汽車數(shù)據(jù)安全管理制度，依法履行數(shù)據(jù)安全保護(hù)義務(wù)，明確責(zé)任部門(mén)和負(fù)責(zé)人。建立數(shù)據(jù)資產(chǎn)管理臺(tái)賬，實(shí)施數(shù)據(jù)分類分級(jí)管理，加強(qiáng)個(gè)人信息與重要數(shù)據(jù)保護(hù)。建設(shè)數(shù)據(jù)安全保護(hù)技術(shù)措施，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)，依法依規(guī)落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全事件報(bào)告等要求。

此外，我國(guó)首部針對(duì)汽車數(shù)據(jù)安全制定的法規(guī)——《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》則首次清晰界定了“汽車數(shù)據(jù)處理者”和“重要數(shù)據(jù)”類型等內(nèi)容。

相信在未來(lái)幾年整車信息安全會(huì)有更多的行業(yè)標(biāo)準(zhǔn)出臺(tái)。從整個(gè)行業(yè)的角度進(jìn)一步約束、加強(qiáng)立法、加速行業(yè)合作、打破數(shù)據(jù)壁壘，建立可信汽車數(shù)據(jù)流通渠道等，在滿足數(shù)據(jù)安全要求的同時(shí)，營(yíng)造一個(gè)健康的市場(chǎng)環(huán)境。