2023年是不平凡的一年，它是正式步入安全強合規(guī)時代的大年，但汽車網(wǎng)絡與數(shù)據(jù)安全事件卻又頻頻被爆出，甚至顯示出越來越激烈的趨勢，安全挑戰(zhàn)不斷升級。除汽車網(wǎng)絡安全難題外，數(shù)據(jù)安全及隱私泄露問題也越演越烈，逐漸走向安全舞臺的中央。這里談思實驗室整理了國內國際汽車網(wǎng)絡數(shù)據(jù)安全產(chǎn)業(yè)事件榜Top 20，供業(yè)內同仁們交流探討，歡迎大家補充指正。那就讓我們一起回顧2023年我們共同見證了哪些安全大事件吧！

01

滴滴出行通過網(wǎng)絡安全審查，重新恢復上架

時隔一年半，滴滴出行重新恢復用戶注冊。1月16日，滴滴在官方微博發(fā)布公告稱，過去一年多，公司認真配合國家網(wǎng)絡安全審查，嚴肅對待審查中發(fā)現(xiàn)的安全問題，并進行了全面整改。經(jīng)報網(wǎng)絡安全審查辦公室同意，即日起恢復“滴滴出行”的新用戶注冊。事實上，此次公告發(fā)布前夕，滴滴重新恢復上架的消息已經(jīng)在業(yè)界流傳。

據(jù)此前報道，2021年7月2日，網(wǎng)信中國發(fā)布《網(wǎng)絡安全審查辦公室關于對“滴滴出行”啟動網(wǎng)絡安全審查的公告》。公告稱，將對“滴滴出行”實施網(wǎng)絡安全審查，審查期間“滴滴出行”停止新用戶注冊。隨后，滴滴旗下“滴滴出行”等26款App被下架。

同年7月16日，國家網(wǎng)信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監(jiān)管總局等部門聯(lián)合進駐滴滴出行科技有限公司，開展網(wǎng)絡安全審查。

2022年7月21日，國家互聯(lián)網(wǎng)信息辦公室對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

同日，國家互聯(lián)網(wǎng)信息辦公室有關負責人就對滴滴全球股份有限公司依法作出網(wǎng)絡安全審查相關行政處罰的決定答記者問。其中提到，滴滴公司共存在16項違法事實，包括違法收集用戶手機相冊中的截圖信息、過度收集乘客人臉識別信息等。

02

小米雷軍兩會上就汽車數(shù)據(jù)安全問題建言，呼吁構建完善汽車數(shù)據(jù)安全管理體系

3月4日，全國人大代表，小米集團創(chuàng)始人、董事長兼CEO雷軍在兩會上針對“構建完善汽車數(shù)據(jù)安全管理體系”提出具體建議。在汽車數(shù)據(jù)安全管理體系方面，雷軍認為智能網(wǎng)聯(lián)汽車作為車輪上的數(shù)據(jù)中心，其承載的行駛軌跡、生物特征等敏感個人信息，及地理信息、車外影像等，既是數(shù)字經(jīng)濟發(fā)展的重要要素資產(chǎn)，也給個人隱私、國家公共利益與安全帶來了挑戰(zhàn)。

在《關于構建完善汽車數(shù)據(jù)安全管理體系的建議》中，雷軍指出：目前國家已發(fā)布若干汽車相關的數(shù)據(jù)安全推薦性國家標準，規(guī)范了網(wǎng)約車服務及汽車數(shù)據(jù)采集等部分場景要求，尚無法覆蓋到研產(chǎn)供銷全業(yè)務領域。為此雷軍建議，由主管部門牽頭，定義汽車數(shù)據(jù)分類分級規(guī)則，加快制定圍繞汽車生命周期和數(shù)據(jù)生命周期兩條主線的數(shù)據(jù)安全標準，指導產(chǎn)業(yè)發(fā)展。同時建立智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全認證制度、數(shù)據(jù)安全評級及公示制度，提升行業(yè)透明度與可信度。另外，雷軍還指出，當前各車企間數(shù)據(jù)尚未實現(xiàn)有效安全流通，數(shù)據(jù)孤島普遍存在，數(shù)據(jù)價值無法充分發(fā)揮。他建議，應當在保障數(shù)據(jù)安全的前提下，構建汽車數(shù)據(jù)共享機制及平臺，讓各車企間的數(shù)據(jù)實現(xiàn)流通，將數(shù)據(jù)轉化為社會生產(chǎn)力。

03

號稱最安全的汽車品牌，Volvo再被曝泄露大量用戶信息

4月13日，據(jù)調查發(fā)現(xiàn)，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續(xù)通過其網(wǎng)站泄露敏感文件，這些信息可能會被一些不懷好意的人拿來用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。

美國數(shù)字安全調查媒體的相關人員聯(lián)系了Dimas Volvo和負責沃爾沃總部數(shù)據(jù)保護的相關官員，了解到目前這個信息泄漏的問題已經(jīng)得到了妥善的解決。

04

現(xiàn)代汽車發(fā)生數(shù)據(jù)泄露事件，歐洲多國車主受影響

4月14日，現(xiàn)代汽車近日披露發(fā)生數(shù)據(jù)泄漏事件，意大利和法國車主以及預訂試駕數(shù)據(jù)遭泄露。現(xiàn)代汽車是一家跨國汽車制造商，每年在歐洲銷售超過五十萬輛汽車，在法國和意大利的市場份額約為3%。根據(jù)Twitter上的多份報道以及“HaveIBeenPwned”創(chuàng)始人Troy Hunt分享的通知樣本，該事件暴露了以下類型的個人數(shù)據(jù)：電子郵件地址、物理地址、電話號碼、車輛底盤編號。

現(xiàn)代汽車的通知澄清說：訪問現(xiàn)代汽車數(shù)據(jù)庫的黑客并沒有竊取財務數(shù)據(jù)或身份證號碼。現(xiàn)代汽車表示，他們聘請了IT專家來處理數(shù)據(jù)泄露事件，已經(jīng)將受影響的系統(tǒng)脫機，直到實施額外的安全措施。現(xiàn)代汽車還警告其客戶對聲稱來自現(xiàn)代汽車的未經(jīng)請求的電子郵件和短信保持謹慎，因為它們可能是網(wǎng)絡釣魚和社會工程攻擊。

05

公開征求《汽車整車信息安全技術要求》等四項強制性國家標準的意見

5月5日，按照《中華人民共和國標準化法》和《強制性國家標準管理辦法》，工業(yè)和信息化部裝備工業(yè)一司組織全國汽車標準化技術委員會開展了《汽車整車信息安全技術要求》等四項強制性國家標準的制修訂，已形成征求意見稿，現(xiàn)公開征求社會各界意見。征求意見截止日期為2023年7月5日，如有意見和建議，請以書面（個人需署名，單位需加蓋公章，并留聯(lián)系方式）或電子郵件形式進行反饋。

06

豐田泄露超200萬輛汽車敏感數(shù)據(jù)：實時位置暴露近10年

5月15日，豐田汽車因云環(huán)境中的設置錯誤，導致車輛數(shù)據(jù)存在泄露風險。豐田公司表示，因此事受影響的范圍僅限于日本境內車輛，涉及注冊豐田車載信息服務、遠程車載信息通信服務等服務的大約215萬用戶，包括豐田旗下品牌雷克薩斯的部分車主。豐田同時表示，目前數(shù)據(jù)并沒有被惡意使用的報告。

豐田公司的一位發(fā)言人表示：該云環(huán)境中的設置錯誤是由于系統(tǒng)性質被設置成“公共”而非“私人”的人為錯誤設置所導致，錯誤時間長達10年，從2013年11月至今年4月。之所以這么久沒發(fā)現(xiàn)，是因為豐田云服務缺乏“積極監(jiān)測機制”，豐田今后將引入持續(xù)審核云服務設置的制度，并在數(shù)據(jù)處理規(guī)范方面嚴格培訓員工。

07

超100GB！特斯拉曝數(shù)據(jù)泄露丑聞，自動駕駛安全問題超乎想象

5月26日，荷蘭數(shù)據(jù)監(jiān)管機構表示，特斯拉可能存在數(shù)據(jù)保護漏洞。據(jù)德國媒體報道，這些泄漏文件包含超過10萬名前任和現(xiàn)任員工姓名的表格，甚至包括特斯拉首席執(zhí)行官馬斯克的社保號碼，以及私人電子郵件地址、電話號碼、員工工資、客戶銀行詳細信息和生產(chǎn)機密信息。如果這種違規(guī)行為被證實，特斯拉可能會被處以高達其年銷售額4%的罰款，即32.6億歐元。

德國工會IG Metall表示，這些爆料“令人不安”，并呼吁特斯拉向員工通報所有違反數(shù)據(jù)保護的行為，并倡導一種員工可以公開、無所畏懼地提出問題和不滿的文化。德國媒體援引特斯拉的一名律師的話說，一名“心懷不滿的前員工”濫用了他們作為服務技術人員的權限，并補充說，特斯拉將對涉嫌泄密的個人采取法律行動。外媒稱，泄露的文件含有數(shù)千起客戶對該汽車制造商駕駛員輔助系統(tǒng)的投訴，其中約4000起是關于突然加速或制動故障的投訴。

08

黑客可遠程控制，大眾汽車曝關鍵漏洞

6月29日，大眾汽車Discover Media信息娛樂系統(tǒng)的漏洞是在2023年2月28日發(fā)現(xiàn)的。該漏洞可能會使未打補丁的系統(tǒng)遭到拒絕服務（DoS）攻擊。該漏洞起初是由大眾汽車的用戶發(fā)現(xiàn)的，隨后大眾汽車方面確認了該漏洞，漏洞的標識為CVE-2023-34733。該漏洞是在大眾汽車媒體信息娛樂系統(tǒng)軟件版本0876中發(fā)現(xiàn)的。在收到用戶的這份報告后，德國汽車巨頭對該漏洞進行了確認。

該公司讓其事件響應小組分析了大眾汽車信息娛樂系統(tǒng)的漏洞，后來又讓研發(fā)部門分析了這個漏洞。隨后他們向上述電子郵件截圖中名為 "zj3t "的用戶確認了該漏洞，并表示該漏洞是一個產(chǎn)品質量的問題，會及時改進。

09

工信部、國家標準委聯(lián)合印發(fā)《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南（智能網(wǎng)聯(lián)汽車）（2023版）》

7月26日，為適應我國智能網(wǎng)聯(lián)汽車發(fā)展新階段的新需求，工業(yè)和信息化部、國家標準化管理委員會聯(lián)合修訂印發(fā)了《國家車聯(lián)網(wǎng)產(chǎn)業(yè)標準體系建設指南（智能網(wǎng)聯(lián)汽車）（2023版）》。

下一步，工業(yè)和信息化部將深入推進智能網(wǎng)聯(lián)汽車標準體系建設，繼續(xù)指導全國汽標委智能網(wǎng)聯(lián)汽車分標委（SAC/TC114/SC34）及有關單位，加大在功能安全、網(wǎng)絡安全、操作系統(tǒng)等重點領域的標準研制力度，積極參與國際標準法規(guī)協(xié)調制定，推進關鍵標準的宣貫實施，加快新能源汽車與信息通信、智能交通、智慧城市等融合發(fā)展，通過標準引導推動我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質量發(fā)展。

10

《車聯(lián)網(wǎng)數(shù)據(jù)共享安全架構》等三項車聯(lián)網(wǎng)領域行業(yè)標準正式啟動

7月28日，中國電子技術標準化研究院組織召開了《車聯(lián)網(wǎng)數(shù)據(jù)共享安全架構》等3項行業(yè)標準啟動會。中國電子技術標準化研究院劉洋主持會議，來自21家單位的40名專家參與會議。

會議分別成立了《車聯(lián)網(wǎng)數(shù)據(jù)共享安全架構》《車載信息服務 面向汽車智能服務的數(shù)據(jù)集》《路側通信單元與路側基礎設施間的數(shù)據(jù)接口要求》等三項行業(yè)標準編制組，確定工作計劃，正式啟動了標準研制工作。三項標準具體情況如下表所示。

11

福特被曝安全漏洞，利用WIFI 可實施攻擊

8月14日，福特汽車供應商的安全人員向福特公司報告了一個安全漏洞，漏洞編號 CVE-2023-29468。該漏洞位于汽車信息娛樂系統(tǒng)集成的 WiFi 系統(tǒng) WL18xx MCP 驅動程序中，允許 WiFi 范圍內的攻擊者使用特制的幀觸發(fā)緩沖區(qū)溢出。

福特汽車公司發(fā)布公告稱，尚未有任何證據(jù)表明該漏洞已經(jīng)被黑客利用，原因在于利用WiFi軟件漏洞需要較為扎實的黑客技術，且攻擊者還需在物理上靠近已打開點火裝置和 Wi-Fi 設置的車輛。福特汽車公司進一步指出，哪怕該漏洞已經(jīng)被利用，也不會影響車輛乘坐人員的人身安全，因為該漏洞只存在于娛樂系統(tǒng)集成中，轉向、油門和制動等控制裝置有專門的防火墻保護。“如果用戶擔心該漏洞帶來風險，可通過 SYNC 3 信息娛樂系統(tǒng)的設置菜單關閉 WiFi 功能。”

12

蔚來公布惡意攻擊信息系統(tǒng)案件進展！

去年12月，蔚來汽車因用戶數(shù)據(jù)遭不法人士泄露而受到社會廣泛關注，當時蔚來汽車創(chuàng)始人、董事長兼CEO李斌就曾因此事道歉，并表示堅決不與犯罪行為妥協(xié)。

9月5日，蔚來法務部在微博發(fā)文，更新部分惡意侵害蔚來和用戶合法權益案件的進展。這其中便提到了之前那起用戶信息泄露事件。蔚來方面表示，在公司的協(xié)助下，公安機關于近日成功偵破一起惡意攻擊蔚來信息系統(tǒng)的案件，目前已抓獲相關犯罪嫌疑人，該刑事案件正在進一步偵辦中。雖然未來并沒有介紹該案件的具體情況，但是有很大概率便是此前蔚來用戶信息泄露一事。

13

馬自達服務器遭入侵，超10萬條信息泄露

9月15日，馬自達發(fā)文稱，公司內部系統(tǒng)服務器遭到外部入侵，或超10萬個人信息被泄露。據(jù)了解，這些信息都源自公司員工及合作方人員的姓名及電話號碼，共計約104732條信息。官方表示：截至目前沒有發(fā)現(xiàn)個人信息遭到濫用的情況，被泄露的信息中不包含顧客信息。可能泄漏的個人信息包括本公司及集團公司員工、分包商員工、業(yè)務合作伙伴部分信息，涉及姓名、電子郵件地址、部門及職務、電話號碼等。

馬自達稱：此次的信息遭入侵一事，主要是因為貴公司安裝的應用服務器中的一個漏洞引起的。同時，提醒員工和合作方注意個人信息安全，加強密碼保護，并建議使用多重身份驗證等安全措施。針對此事馬自達方面也進行了道歉且表示已就此事報案，并向個人信息保護委員會進行了必要的報告，后續(xù)將采取一切可能的措施防止事件再次發(fā)生。

14

豐田公司確認遭遇美杜莎勒索軟件攻擊

11月16日，豐田金融服務公司(TFS)證實遭遇Medusa（美杜莎）勒索軟件組織的攻擊，該公司在歐洲和非洲的系統(tǒng)上檢測到未經(jīng)授權的訪問。豐田金融服務公司是豐田汽車公司的子公司，作為一家全球性企業(yè)，其業(yè)務覆蓋豐田汽車90%的市場，為豐田客戶提供汽車融資服務。Medusa勒索軟件組織在其暗網(wǎng)數(shù)據(jù)泄漏站點的受害者名單中添加了豐田金融服務公司，要求后者支付800萬美元贖金來刪除泄漏數(shù)據(jù)（下圖）：

安全事件發(fā)生后，該公司發(fā)言人發(fā)表了如下聲明：豐田歐洲和非洲金融服務公司最近在其少數(shù)幾個地點的系統(tǒng)中發(fā)現(xiàn)了未經(jīng)授權的活動，目前已經(jīng)將某些系統(tǒng)下線。同時，內部安全人員已開始與執(zhí)法部門合作。截至目前，此次安全事件僅限于豐田金融服務歐洲和非洲地區(qū)。關于受影響系統(tǒng)的狀態(tài)及其預計恢復正常運行的時間，豐田汽車方面的發(fā)言人表示，大多數(shù)國家的系統(tǒng)恢復已經(jīng)開始進行了。

15

在華供應商被黑，Stellantis工廠生產(chǎn)受擾亂

11月16日，全球知名車企斯特蘭蒂斯集團（Stellantis）13日表示，由于一家汽車供應商受到網(wǎng)絡攻擊，集團運營被干擾，克萊斯勒、道奇、吉普和公羊等車型的生產(chǎn)受到影響。

這次網(wǎng)絡攻擊主要影響中國供應商Yanfeng International Automotive Technology Co. Ltd.（延鋒國際汽車技術有限公司）。13日晚間，該公司官網(wǎng)無法訪問。延鋒汽車的北美總部位于密歇根州諾維。公司生產(chǎn)多種即時零部件，包括座椅、內飾、電子設備和其他組件。

被問及這次網(wǎng)絡攻擊時，斯特蘭蒂斯發(fā)言人Anne Marie Fortunate發(fā)表聲明，“由于一家外部供應商出現(xiàn)問題，斯特蘭蒂斯集團位于北美的部分裝配廠生產(chǎn)受到干擾。我們正在監(jiān)控情況并與供應商合作，減輕事件對我們運營的進一步影響。”她拒絕具體說明哪些生產(chǎn)或地點受到了影響。

16

工信部等四部門部署開展智能網(wǎng)聯(lián)汽車準入和上路通行試點工作

11月17日，工信部等四部門發(fā)布《關于開展智能網(wǎng)聯(lián)汽車準入和上路通行試點工作的通知》。在智能網(wǎng)聯(lián)汽車道路測試與示范應用工作基礎上，工業(yè)和信息化部、公安部、住房和城鄉(xiāng)建設部、交通運輸部遴選具備量產(chǎn)條件的搭載自動駕駛功能的智能網(wǎng)聯(lián)汽車產(chǎn)品，開展準入試點；對取得準入的智能網(wǎng)聯(lián)汽車產(chǎn)品，在限定區(qū)域內開展上路通行試點，車輛用于運輸經(jīng)營的需滿足交通運輸主管部門運營資質和運營管理要求。

17

美國汽車零部件巨頭 AutoZone 遭遇網(wǎng)絡攻擊

11月21日，美國汽車配件零售商巨頭 AutoZone 稱其成為了 Clop MOVEit 文件傳輸網(wǎng)絡攻擊的受害者，導致大量數(shù)據(jù)泄露。

經(jīng)調查研究，AutoZone 發(fā)現(xiàn)一個未經(jīng)授權的第三方利用了與 MOVEit 相關的漏洞，并從支持 MOVEit 應用程序的 AutoZone 系統(tǒng)中“過濾”了某些數(shù)據(jù)。目前，相關機構已經(jīng)對受影響的系統(tǒng)和相關數(shù)據(jù)進行了分析，以確定用戶的信息是否受到了潛在影響。

18

歐盟《網(wǎng)絡彈性法案》明確：如果制造商知曉設備存在重大漏洞，一律不得投放市場

12月5日消息，歐盟政策制定者于11月30日達成了關于《網(wǎng)絡彈性法案》的政治協(xié)議，彌合了在最后幾個懸而未決問題上的分歧。《網(wǎng)絡彈性法案》是一項立法提案，為從智能玩具到工業(yè)機械等各類聯(lián)網(wǎng)設備引入安全要求。歐盟委員會、歐洲議會和歐盟理事會通過“三方對話”會議最終敲定這一法案。下一步需要歐洲議會和歐盟理事會正式通過，才能成為法律。

該協(xié)議此前在技術層面上已經(jīng)基本敲定，提案的許多方面在政治會議期間得到認可。歐盟談判代表經(jīng)過激烈討論之后解決了最后的政治障礙。牽頭此事的歐洲議會議員Nicola Danti表示，“《網(wǎng)絡彈性法案》將加強聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡安全，解決硬件和軟件中的漏洞問題，讓歐洲大陸更安全、更有彈性。歐洲議會已經(jīng)立法保護供應鏈，并將保護路由器、殺毒軟件等關鍵產(chǎn)品列為網(wǎng)絡安全優(yōu)先事項。”

19

日產(chǎn)Nissan汽車在澳大利亞和新西蘭遭遇網(wǎng)絡攻擊

12月7日,日產(chǎn)(Nissan,即尼桑)正在調查針對其在新西蘭和澳大利亞的系統(tǒng)的網(wǎng)絡攻擊。在澳大利亞官網(wǎng)發(fā)布公告，確認公司遭受了一次“網(wǎng)絡攻擊”，并警告客戶他們的個人信息可能已被訪問。據(jù)了解，這次網(wǎng)絡攻擊影響了日產(chǎn)在澳大利亞和新西蘭的系統(tǒng)，而且日產(chǎn)經(jīng)銷商的系統(tǒng)可能也受到了此次事件的影響。

公司網(wǎng)站上的聲明表示，他們已經(jīng)通知了新西蘭和塔斯曼對岸的網(wǎng)絡安全當局，他們的全球事件響應團隊正在努力確定造成的影響。由于此事件，客戶的個人數(shù)據(jù)可能已被訪問，盡管此次事件的影響范圍仍在調查中，但日產(chǎn)鼓勵其客戶對他們的賬戶保持警惕，包括注意任何不尋常或欺詐活動。

20

因不符合WP.29中網(wǎng)絡安全要求，保時捷Macan宣布退出歐盟

12月15日，保時捷現(xiàn)款Macan車型將于明年春天在歐盟國家停止銷售。不過需要指出的是，迫使新車停售的"罪魁禍首"并不是因為排放不達標，而是因為該車無法滿足歐盟針對車輛網(wǎng)絡安全所推出的新規(guī)。所以除了歐盟國家外，其他國家的銷售并不會受到影響。

一位公司發(fā)言人表示，在保時捷開發(fā)這一車型時，WP.29法規(guī)尚未最終敲定。據(jù)發(fā)言人稱，為了滿足新的要求，更新車輛將成本過高。汽車制造商將面臨每銷售一輛不符合WP.29法規(guī)的車輛高達3萬歐元（近3.3萬美元）的罰款。目前尚不清楚與Macan一同開發(fā)且同樣使用MLB平臺的奧迪Q5是否受到UNECE的網(wǎng)絡安全法規(guī)的影響。尚不清楚在新規(guī)定生效前是否會有其他車型停售。

審核編輯：黃飛