撰文 / 錢亞光

設(shè)計(jì) / 琚 佳

來源 / www.spiegel.de, electrek.co, www.theverge.com

近日，據(jù)德國《明鏡周刊（Der Spiegel）》報(bào)道，由于數(shù)據(jù)泄露，大眾集團(tuán)的約80萬輛電動(dòng)汽車的敏感位置數(shù)據(jù)，在數(shù)月內(nèi)一直暴露在未受保護(hù)的云服務(wù)器上。

這一漏洞是由一名舉報(bào)人首先向《明鏡周刊》和歐洲最大的黑客組織“混沌計(jì)算機(jī)俱樂部（Chaos Computer Club, CCC）”通報(bào)的。該漏洞影響到大眾旗下汽車品牌的電動(dòng)汽車，包括大眾、奧迪、西雅特（Seat）和斯柯達(dá)等品牌，且這一影響是全球性的。

據(jù)Electrek報(bào)道，此次數(shù)據(jù)泄露源自大眾汽車內(nèi)部運(yùn)行的軟件，電動(dòng)汽車的敏感數(shù)據(jù)被暴露在未受保護(hù)的云存儲(chǔ)系統(tǒng)中，使得任何知道如何查找的人都能獲取私人信息。這可能會(huì)讓不法分子追蹤到車主的確切行蹤。其中包括德國、歐洲及其他地區(qū)大眾汽車及其旗下其他汽車品牌的車主的聯(lián)系信息和行動(dòng)數(shù)據(jù)。

當(dāng)大眾汽車推出其時(shí)尚的ID系列電動(dòng)汽車及配套移動(dòng)應(yīng)用程序時(shí)，承諾帶來便利和創(chuàng)新。但在光鮮亮麗的數(shù)字進(jìn)步界面背后，卻隱藏著一個(gè)嚴(yán)重的安全失誤，如今已被曝光。

問題的嚴(yán)重性

《明鏡周刊》發(fā)現(xiàn)，大眾汽車旗下負(fù)責(zé)軟件業(yè)務(wù)的子公司 Cariad 存在漏洞，使得攻擊者能夠找到并訪問存儲(chǔ)在亞馬遜云存儲(chǔ)服務(wù)中的駕駛員數(shù)據(jù)。這些數(shù)據(jù)“可能與駕駛員的姓名和聯(lián)系方式相關(guān)聯(lián)”。

這些資料包含精確的GPS位置信息，能夠追蹤車輛停放的具體地點(diǎn)和時(shí)間。無論是在私人住宅前、政府大樓旁，甚至是一些不太體面的地方，這些信息都公之于眾。更糟糕的是，這些數(shù)據(jù)通常還能通過與之并存的車主姓名和聯(lián)系方式直接與車主關(guān)聯(lián)起來。

《明鏡周刊》指出，被曝光的數(shù)據(jù)包括數(shù)TB的信息，存儲(chǔ)了涉及大約80萬輛電動(dòng)汽車的位置數(shù)據(jù)，該數(shù)據(jù)集詳盡記錄了46萬輛汽車的“高精度”位置記錄。

報(bào)告稱，大眾ID.3和ID.4的車主受影響尤為嚴(yán)重，奧迪、西雅特和斯柯達(dá)的車主也受到了此次安全漏洞的影響。

據(jù)報(bào)道，此次漏洞涉及漢堡警察局車隊(duì)中35輛電動(dòng)汽車的信息，以及公眾人物、企業(yè)領(lǐng)導(dǎo)人、聯(lián)邦情報(bào)局員工的信息，甚至包括位于拉姆施泰因空軍基地的美國空軍車輛。

據(jù)《明鏡周刊》稱，大眾和西雅特汽車的數(shù)據(jù)“精確到10厘米以內(nèi)”，而奧迪和斯柯達(dá)車型的位置數(shù)據(jù)也精確到10公里以內(nèi)。

據(jù)《明鏡周刊》報(bào)道，它能夠以驚人的精度追蹤兩名德國政客的行蹤，德國國防委員會(huì)的一名成員在其父親的養(yǎng)老院和該國軍事基地的位置被精確顯示出來。

而德國托斯特特市市長(zhǎng)娜迪亞·韋珀特（Nadja Weippert）也發(fā)現(xiàn)自己數(shù)據(jù)被曝光的用戶之一，泄露的數(shù)據(jù)可以描繪出她從工作地點(diǎn)到理療師診所的行程。她告訴《明鏡周刊》：“我很震驚，我的數(shù)據(jù)居然未經(jīng)加密就存儲(chǔ)在亞馬遜云端，然后還得不到充分保護(hù)。”

問題出在哪里

據(jù)The Verge的一份報(bào)告指出，問題的核心在于大眾汽車的軟件子公司Cariad，其負(fù)責(zé)為大眾的電動(dòng)汽車系列打造先進(jìn)的數(shù)字平臺(tái)。

這款由大眾汽車子公司Cariad開發(fā)的互聯(lián)汽車應(yīng)用程序旨在成為汽車及其功能的延伸。與類似的汽車制造商應(yīng)用程序一樣，Cariad應(yīng)用程序允許車主遠(yuǎn)程啟動(dòng)車輛、管理氣候控制、查看電池充電狀態(tài)等。

該應(yīng)用程序還收集GPS信息和駕駛數(shù)據(jù)，并將其發(fā)送回汽車制造商。Cariad告訴《明鏡周刊》，收集“客戶的充電行為和習(xí)慣的匿名數(shù)據(jù)”是為了改進(jìn)電池和相關(guān)軟件。Cariad還聲稱，這些信息不會(huì)與公司內(nèi)部的其他數(shù)據(jù)集合并，因此無法將個(gè)人與車輛檔案關(guān)聯(lián)起來。

這其實(shí)無關(guān)緊要，因?yàn)橄募镜囊淮问д`導(dǎo)致這些敏感信息未加密且暴露無遺，就像一道敞開的傷口，等著網(wǎng)絡(luò)攻擊者往上面撒鹽。盡管這些信息并沒有專門設(shè)立一個(gè)名為“80萬份免費(fèi)個(gè)人信息，包括政客”的網(wǎng)站，但《明鏡周刊》稱，只要知道在哪里找，獲取這些信息對(duì)“無聊的青少年來說”都輕而易舉。

受影響的車輛中，有30萬輛在德國。不過，據(jù)《明鏡周刊》報(bào)道，其他歐洲國家以及世界其他地區(qū)的車輛也屬于數(shù)據(jù)未受保護(hù)的范圍。

據(jù)報(bào)道，由于Cariad公司的亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）云環(huán)境配置錯(cuò)誤，致使這些敏感數(shù)據(jù)極易被獲取。糟糕的網(wǎng)絡(luò)安全使得原本不顯眼的 Cariad 網(wǎng)站和子頁面變得十分顯眼，其文件擴(kuò)展名也容易猜測(cè)。

其中一個(gè)擴(kuò)展名導(dǎo)致了Cariad內(nèi)部一款應(yīng)用程序最近的內(nèi)存轉(zhuǎn)儲(chǔ)，無需密碼即可訪問，而且數(shù)據(jù)轉(zhuǎn)儲(chǔ)中包含了登錄亞馬遜云存儲(chǔ)設(shè)施的憑證，其中存有所有敏感的車輛信息。

要明確的是，這并非什么難以觸及或隱秘的數(shù)據(jù)庫，只需使用一些在網(wǎng)上就能輕易獲取的基本黑客工具，就能輕而易舉地獲取到這些珍貴的數(shù)據(jù)寶庫。

此次數(shù)據(jù)泄露事件凸顯了大眾汽車在數(shù)據(jù)管理和安全系統(tǒng)方面存在的嚴(yán)重缺陷，對(duì)于這家在軟件開發(fā)和電動(dòng)汽車領(lǐng)域本就難以跟上競(jìng)爭(zhēng)對(duì)手步伐的公司而言，這無疑是個(gè)痛點(diǎn)。而此次事件發(fā)生的時(shí)機(jī)更是糟糕透頂。

隨著汽車制造商紛紛向自動(dòng)駕駛汽車和互聯(lián)汽車系統(tǒng)邁進(jìn)，消費(fèi)者對(duì)其保護(hù)數(shù)據(jù)的能力充滿信任至關(guān)重要。這一事件不僅難以提振信心，也無助于這家德國企業(yè)改善其低迷的銷售業(yè)績(jī)。

想想其中的危險(xiǎn)：犯罪分子可能會(huì)利用這些信息從事各種惡意活動(dòng)，包括有針對(duì)性的跟蹤、敲詐勒索，甚至人身攻擊；犯罪分子可能會(huì)利用這些數(shù)據(jù)進(jìn)行有針對(duì)性的網(wǎng)絡(luò)釣魚詐騙，冒充大眾汽車代表獲取支付信息；跟蹤者和施暴者能夠極其精準(zhǔn)地定位到個(gè)人的位置。甚至情報(bào)機(jī)構(gòu)也可能從追蹤頻繁出入政府大樓或軍事基地等敏感地點(diǎn)的車輛中獲取價(jià)值。

問題的處理

大眾汽車表示，該錯(cuò)誤現(xiàn)已得到糾正，相關(guān)信息已無法訪問。大眾還稱，此次泄露的數(shù)據(jù)中不包含密碼和支付信息，最初只有注冊(cè)了在線服務(wù)的部分車輛面臨風(fēng)險(xiǎn)。

Cariad告訴《明鏡周刊》，該漏洞是“配置錯(cuò)誤”，這些信息不會(huì)與公司內(nèi)部的其他數(shù)據(jù)集合并，因此無法將個(gè)人與車輛檔案關(guān)聯(lián)起來。據(jù)該公司稱，研究人員必須“繞過多個(gè)安全機(jī)制”才能將不同的數(shù)據(jù)集合并起來。

盡管Cariad堅(jiān)稱沒有財(cái)務(wù)信息或個(gè)人身份信息遭到泄露，但暴露的位置數(shù)據(jù)仍有可能被濫用，這依然是一個(gè)重大威脅。位置數(shù)據(jù)和個(gè)人信息絕非無害，一旦落入不法分子手中，就會(huì)成為他們牟利的金礦。

CCC對(duì)Cariad技術(shù)團(tuán)隊(duì)在接到通知后迅速采取行動(dòng)解決該問題表示稱贊。然而，問題依然存在：如此明顯的漏洞為何長(zhǎng)期未被發(fā)現(xiàn)？現(xiàn)代網(wǎng)絡(luò)安全措施旨在在這些隱患演變成全面危機(jī)之前就將其標(biāo)記出來。對(duì)于像大眾汽車這樣以技術(shù)進(jìn)步為傲的公司來說，這無疑是一個(gè)極其尷尬的時(shí)刻。

更深遠(yuǎn)的影響

這一事件也提醒了汽車行業(yè)面臨的一個(gè)更廣泛的問題：汽車的個(gè)人隱私和信息安全如何保障？

如今的汽車本質(zhì)上就是帶輪子的電腦，通過數(shù)百個(gè)傳感器收集海量數(shù)據(jù)。從電池健康狀況到駕駛習(xí)慣以及確切位置，制造商對(duì)每輛車都掌握著詳盡的信息。盡管各公司聲稱這些數(shù)據(jù)用于改進(jìn)服務(wù)和產(chǎn)品，但有關(guān)這些信息如何存儲(chǔ)、保護(hù)和共享的透明度仍不明朗。

大眾汽車并非唯一一家陷入數(shù)據(jù)困境的企業(yè)，但這絲毫不能讓人感到寬慰。此類事件引發(fā)了諸多關(guān)鍵問題：車輛生成的數(shù)據(jù)歸誰所有？制造商？車主？消費(fèi)者對(duì)這些信息又擁有哪些權(quán)利？

2023年5月，豐田承認(rèn)，由于云服務(wù)平臺(tái)設(shè)置錯(cuò)誤，其日本車主數(shù)據(jù)庫在近10年間“門戶大開”，約215萬日本用戶的車輛數(shù)據(jù)蒙受泄露風(fēng)險(xiǎn)，為此豐田向客戶致歉。

2023年10月，愛爾蘭利默里克的一家私人技術(shù)承包商泄露了超過50萬份愛爾蘭警方車輛扣押記錄。其中包含與愛爾蘭國家警察Garda Síochána扣押車輛相關(guān)的敏感信息，可能會(huì)影響數(shù)千名車主。

2023年9月，非營利組織Mozilla基金會(huì)發(fā)布了一份報(bào)告，指出汽車是其評(píng)估過的所有產(chǎn)品中隱私保護(hù)最差的類別。Mozilla的調(diào)研人員選取了包括奔馳、寶馬、奧迪、特斯拉、大眾等25個(gè)知名汽車公司，涉及美國和歐洲市場(chǎng)。

根據(jù)報(bào)告，所有品牌都收集了超出必要的數(shù)據(jù)，并將其用于除操控車輛和管理與客戶關(guān)系之外的目的，且大多數(shù)承認(rèn)會(huì)將這些信息分享或出售給第三方。

其中有92%的汽車公司很少或根本不給用戶提供個(gè)人數(shù)據(jù)控制權(quán)，84%的汽車公司會(huì)與第三方共享用戶數(shù)據(jù)，39%的汽車公司則明確表示，他們可能會(huì)將相關(guān)數(shù)據(jù)出售給第三方。

在接受調(diào)查的25個(gè)汽車品牌中，在過去三年中，超過三分之二的公司曾遭遇數(shù)據(jù)泄露或其他安全事件。

Mozilla得出的結(jié)論是，如今的汽車是“隱私噩夢(mèng)（privacy nightmare）”。

歐盟已著手采取行動(dòng)，即將出臺(tái)的《數(shù)據(jù)法案（Data Act）》旨在賦予車主更多對(duì)其數(shù)據(jù)的控制權(quán)。然而，該法案要到 2025年底才會(huì)生效，這期間仍有大量時(shí)間可能出現(xiàn)更多失誤，或許現(xiàn)在是時(shí)候讓當(dāng)?shù)卣P(guān)注這一問題，并在必要時(shí)加以解決。

對(duì)于大眾汽車而言，當(dāng)下的直接損失在于聲譽(yù)。該公司長(zhǎng)期以來一直將自身定位為德國工程技術(shù)卓越的象征，但此次數(shù)據(jù)泄露事件進(jìn)一步損害了這一形象。這也引發(fā)了人們對(duì)汽車行業(yè)是否為互聯(lián)未來所面臨的挑戰(zhàn)做好準(zhǔn)備的質(zhì)疑。如果汽車制造商都無法保護(hù)好當(dāng)下的數(shù)據(jù)，又怎能向我們保證，未來的自動(dòng)駕駛汽車不會(huì)受到黑客或其他惡意人員的攻擊呢？

這次事件不僅給大眾汽車敲響了警鐘，也是整個(gè)汽車行業(yè)的一記警鐘。汽車已不再僅僅是機(jī)器，它們還是個(gè)人和敏感信息的存儲(chǔ)庫，隨之而來的責(zé)任是制造商再也無法忽視的。