撰文 / 钱亚光
设计 / 琚 佳
来源 / www.spiegel.de, electrek.co, www.theverge.com
近日,据德国《明镜周刊(Der Spiegel)》报道,由于数据泄露,大众集团的约80万辆电动汽车的敏感位置数据,在数月内一直暴露在未受保护的云服务器上。
这一漏洞是由一名举报人首先向《明镜周刊》和欧洲最大的黑客组织“混沌计算机俱乐部(Chaos Computer Club, CCC)”通报的。该漏洞影响到大众旗下汽车品牌的电动汽车,包括大众、奥迪、西雅特(Seat)和斯柯达等品牌,且这一影响是全球性的。
据Electrek报道,此次数据泄露源自大众汽车内部运行的软件,电动汽车的敏感数据被暴露在未受保护的云存储系统中,使得任何知道如何查找的人都能获取私人信息。这可能会让不法分子追踪到车主的确切行踪。其中包括德国、欧洲及其他地区大众汽车及其旗下其他汽车品牌的车主的联系信息和行动数据。
当大众汽车推出其时尚的ID系列电动汽车及配套移动应用程序时,承诺带来便利和创新。但在光鲜亮丽的数字进步界面背后,却隐藏着一个严重的安全失误,如今已被曝光。
问题的严重性
《明镜周刊》发现,大众汽车旗下负责软件业务的子公司 Cariad 存在漏洞,使得攻击者能够找到并访问存储在亚马逊云存储服务中的驾驶员数据。这些数据“可能与驾驶员的姓名和联系方式相关联”。
这些资料包含精确的GPS位置信息,能够追踪车辆停放的具体地点和时间。无论是在私人住宅前、政府大楼旁,甚至是一些不太体面的地方,这些信息都公之于众。更糟糕的是,这些数据通常还能通过与之并存的车主姓名和联系方式直接与车主关联起来。
《明镜周刊》指出,被曝光的数据包括数TB的信息,存储了涉及大约80万辆电动汽车的位置数据,该数据集详尽记录了46万辆汽车的“高精度”位置记录。
报告称,大众ID.3和ID.4的车主受影响尤为严重,奥迪、西雅特和斯柯达的车主也受到了此次安全漏洞的影响。
据报道,此次漏洞涉及汉堡警察局车队中35辆电动汽车的信息,以及公众人物、企业领导人、联邦情报局员工的信息,甚至包括位于拉姆施泰因空军基地的美国空军车辆。
据《明镜周刊》称,大众和西雅特汽车的数据“精确到10厘米以内”,而奥迪和斯柯达车型的位置数据也精确到10公里以内。
据《明镜周刊》报道,它能够以惊人的精度追踪两名德国政客的行踪,德国国防委员会的一名成员在其父亲的养老院和该国军事基地的位置被精确显示出来。
而德国托斯特特市市长娜迪亚·韦珀特(Nadja Weippert)也发现自己数据被曝光的用户之一,泄露的数据可以描绘出她从工作地点到理疗师诊所的行程。她告诉《明镜周刊》:“我很震惊,我的数据居然未经加密就存储在亚马逊云端,然后还得不到充分保护。”
问题出在哪里
据The Verge的一份报告指出,问题的核心在于大众汽车的软件子公司Cariad,其负责为大众的电动汽车系列打造先进的数字平台。
这款由大众汽车子公司Cariad开发的互联汽车应用程序旨在成为汽车及其功能的延伸。与类似的汽车制造商应用程序一样,Cariad应用程序允许车主远程启动车辆、管理气候控制、查看电池充电状态等。
该应用程序还收集GPS信息和驾驶数据,并将其发送回汽车制造商。Cariad告诉《明镜周刊》,收集“客户的充电行为和习惯的匿名数据”是为了改进电池和相关软件。Cariad还声称,这些信息不会与公司内部的其他数据集合并,因此无法将个人与车辆档案关联起来。
这其实无关紧要,因为夏季的一次失误导致这些敏感信息未加密且暴露无遗,就像一道敞开的伤口,等着网络攻击者往上面撒盐。尽管这些信息并没有专门设立一个名为“80万份免费个人信息,包括政客”的网站,但《明镜周刊》称,只要知道在哪里找,获取这些信息对“无聊的青少年来说”都轻而易举。
受影响的车辆中,有30万辆在德国。不过,据《明镜周刊》报道,其他欧洲国家以及世界其他地区的车辆也属于数据未受保护的范围。
据报道,由于Cariad公司的亚马逊网络服务(AWS)云环境配置错误,致使这些敏感数据极易被获取。糟糕的网络安全使得原本不显眼的 Cariad 网站和子页面变得十分显眼,其文件扩展名也容易猜测。
其中一个扩展名导致了Cariad内部一款应用程序最近的内存转储,无需密码即可访问,而且数据转储中包含了登录亚马逊云存储设施的凭证,其中存有所有敏感的车辆信息。
要明确的是,这并非什么难以触及或隐秘的数据库,只需使用一些在网上就能轻易获取的基本黑客工具,就能轻而易举地获取到这些珍贵的数据宝库。
此次数据泄露事件凸显了大众汽车在数据管理和安全系统方面存在的严重缺陷,对于这家在软件开发和电动汽车领域本就难以跟上竞争对手步伐的公司而言,这无疑是个痛点。而此次事件发生的时机更是糟糕透顶。
随着汽车制造商纷纷向自动驾驶汽车和互联汽车系统迈进,消费者对其保护数据的能力充满信任至关重要。这一事件不仅难以提振信心,也无助于这家德国企业改善其低迷的销售业绩。
想想其中的危险:犯罪分子可能会利用这些信息从事各种恶意活动,包括有针对性的跟踪、敲诈勒索,甚至人身攻击;犯罪分子可能会利用这些数据进行有针对性的网络钓鱼诈骗,冒充大众汽车代表获取支付信息;跟踪者和施暴者能够极其精准地定位到个人的位置。甚至情报机构也可能从追踪频繁出入政府大楼或军事基地等敏感地点的车辆中获取价值。
问题的处理
大众汽车表示,该错误现已得到纠正,相关信息已无法访问。大众还称,此次泄露的数据中不包含密码和支付信息,最初只有注册了在线服务的部分车辆面临风险。
Cariad告诉《明镜周刊》,该漏洞是“配置错误”,这些信息不会与公司内部的其他数据集合并,因此无法将个人与车辆档案关联起来。据该公司称,研究人员必须“绕过多个安全机制”才能将不同的数据集合并起来。
尽管Cariad坚称没有财务信息或个人身份信息遭到泄露,但暴露的位置数据仍有可能被滥用,这依然是一个重大威胁。位置数据和个人信息绝非无害,一旦落入不法分子手中,就会成为他们牟利的金矿。
CCC对Cariad技术团队在接到通知后迅速采取行动解决该问题表示称赞。然而,问题依然存在:如此明显的漏洞为何长期未被发现?现代网络安全措施旨在在这些隐患演变成全面危机之前就将其标记出来。对于像大众汽车这样以技术进步为傲的公司来说,这无疑是一个极其尴尬的时刻。
更深远的影响
这一事件也提醒了汽车行业面临的一个更广泛的问题:汽车的个人隐私和信息安全如何保障?
如今的汽车本质上就是带轮子的电脑,通过数百个传感器收集海量数据。从电池健康状况到驾驶习惯以及确切位置,制造商对每辆车都掌握着详尽的信息。尽管各公司声称这些数据用于改进服务和产品,但有关这些信息如何存储、保护和共享的透明度仍不明朗。
大众汽车并非唯一一家陷入数据困境的企业,但这丝毫不能让人感到宽慰。此类事件引发了诸多关键问题:车辆生成的数据归谁所有?制造商?车主?消费者对这些信息又拥有哪些权利?
2023年5月,丰田承认,由于云服务平台设置错误,其日本车主数据库在近10年间“门户大开”,约215万日本用户的车辆数据蒙受泄露风险,为此丰田向客户致歉。
2023年10月,爱尔兰利默里克的一家私人技术承包商泄露了超过50万份爱尔兰警方车辆扣押记录。其中包含与爱尔兰国家警察Garda Síochána扣押车辆相关的敏感信息,可能会影响数千名车主。
2023年9月,非营利组织Mozilla基金会发布了一份报告,指出汽车是其评估过的所有产品中隐私保护最差的类别。Mozilla的调研人员选取了包括奔驰、宝马、奥迪、特斯拉、大众等25个知名汽车公司,涉及美国和欧洲市场。
根据报告,所有品牌都收集了超出必要的数据,并将其用于除操控车辆和管理与客户关系之外的目的,且大多数承认会将这些信息分享或出售给第三方。
其中有92%的汽车公司很少或根本不给用户提供个人数据控制权,84%的汽车公司会与第三方共享用户数据,39%的汽车公司则明确表示,他们可能会将相关数据出售给第三方。
在接受调查的25个汽车品牌中,在过去三年中,超过三分之二的公司曾遭遇数据泄露或其他安全事件。
Mozilla得出的结论是,如今的汽车是“隐私噩梦(privacy nightmare)”。
欧盟已着手采取行动,即将出台的《数据法案(Data Act)》旨在赋予车主更多对其数据的控制权。然而,该法案要到 2025年底才会生效,这期间仍有大量时间可能出现更多失误,或许现在是时候让当地政府关注这一问题,并在必要时加以解决。
对于大众汽车而言,当下的直接损失在于声誉。该公司长期以来一直将自身定位为德国工程技术卓越的象征,但此次数据泄露事件进一步损害了这一形象。这也引发了人们对汽车行业是否为互联未来所面临的挑战做好准备的质疑。如果汽车制造商都无法保护好当下的数据,又怎能向我们保证,未来的自动驾驶汽车不会受到黑客或其他恶意人员的攻击呢?
这次事件不仅给大众汽车敲响了警钟,也是整个汽车行业的一记警钟。汽车已不再仅仅是机器,它们还是个人和敏感信息的存储库,随之而来的责任是制造商再也无法忽视的。