大众汽车集团发生严重数据泄漏，80万车主可被定位

图片：Eduard Kiiko

近日，媒体曝光大众汽车集团的软件子公司Cariad因配置错误导致80万辆电动汽车数据暴露。这些数据包括车辆位置、驾驶员信息等敏感内容，甚至包括部分德国政要和警方巡逻车的数据，引发广泛关注。

车辆数据裸奔，定位精度可达10厘米

根据Bleepingcomputer报道，Cariad有两个IT应用配置错误导致数据存储在亚马逊云平台上“裸奔”，任何具备基础技术知识的人都可能访问这些敏感信息。

此次事件影响的车辆包括大众、奥迪、西雅特和斯柯达等品牌车型，在近80万辆被暴露的汽车中，研究人员发现约46万辆车的地理位置数据可被追踪。其中大众汽车和西亚特汽车的地理数据精确度可达10厘米以内，而奥迪和斯柯达汽车的地理数据精确度要差都多，只能定位到10公里以内，因此后两者的问题相对不是很严重。

德国《明镜周刊》指出，这些数据泄露由一位内部举报者向欧洲最大的道德黑客组织Chaos Computer Club（CCC）提供线索。CCC在测试确认漏洞后，于2023年11月26日向Cariad和大众汽车通报了问题，并提供了详细的技术信息。

影响广泛：政府官员位置被曝光

本次数据泄露事件中，大部分受影响车辆集中在德国（30万辆），其他受波及国家包括挪威（8万）、瑞典（6.8万）、英国（6.3万）以及法国、荷兰等地。

泄露的数据不仅对个人隐私构成威胁，还引发了对公共安全的严重担忧。因为这些位置信息虽然经过一定的伪匿名化处理，但仍可以通过不同数据集的组合关联到具体用户，显现出当前伪匿名化技术的局限性。

《明镜》周刊召集了一支由IT专家和记者组成的团队，他们发现有人使用免费软件收集了两位德国政客娜贾·韦珀特(Nadja Weippert)和联邦议院议员马库斯·格吕贝尔(Markus Grübel)的汽车位置详细信息。

安全响应：漏洞修复及时但问题深远

值得肯定的是，Cariad在收到CCC的报告后迅速采取行动，当日即关闭了不安全的访问权限。CCC也对此给予积极评价，称其技术团队“快速、全面且负责任”地应对了问题。经过调查，Cariad未发现除CCC黑客外的其他访问记录，也未发现数据被第三方滥用的证据。

Cariad还表示，暴露的数据仅限于车辆连接网络并注册在线服务的用户，其收集的数据主要用于优化电池和充电软件等数字功能开发。然而，此次事件也暴露出其数据安全实践中的薄弱环节，包括访问权限控制和数据存储保护的潜在不足。

大众接连暴雷，汽车行业网络安全亟需系统性改进

距离10月大众集团遭遇8Base勒索软件组织攻击仅仅2个月，大众集团再次爆出严重数据安全事故，凸显了汽车行业在数字化转型过程中面临的严峻数据安全挑战。在车联网和自动驾驶技术飞速发展的背景下，车辆采集的数据日益复杂，数据安全问题已成为影响企业声誉与用户信任的重要因素。

不仅仅是大众，2024年汽车行业知名企业接连发生重大网络安全事件，例如：

• 特斯拉的云存储漏洞：不久前，特斯拉也因其云平台上的不当配置导致内部运营数据和源代码泄露，显示出行业对云环境安全认知的普遍不足。
• 丰田的供应链攻击事件：今年，丰田汽车的供应链合作伙伴遭遇勒索软件攻击，导致车辆生产数据被窃取，进一步强调了产业链数据保护的复杂性。
• 奔驰的用户数据泄露：奔驰在今年早些时候因第三方服务商失误导致客户信用数据外泄，再次提醒企业对外包服务进行更严格的监督。

从大众到特斯拉、丰田等一系列事件表明，汽车行业在迈向智能化和网联化的同时，必须重新审视其数据安全框架。以下几点值得全行业关注：

• 加强云安全管理：云平台作为车联网数据存储的核心，需建立更严格的访问控制机制，并引入动态监测和自动修复功能。
• 强化数据伪匿名化技术：目前的伪匿名化技术存在被逆向关联的风险，需要通过分布式数据存储和更高级的加密方法增强保护。
• 完善供应链安全协作：与外部服务商和供应链伙伴的安全协作是关键，需制定统一的安全标准并加强合规检查。
• 提升公众信任：用户对车辆数据的使用和保护存在敏感性，企业需通过透明化的安全实践和及时的安全声明维护用户信任。

结论：数据是座危险的金矿

数据已成为汽车行业智能化进程中的关键资产，但也是其面临的最大风险。大众数据泄露事件不仅是一次个案，更是对整个行业敲响的警钟。企业只有从技术、管理和文化多方面入手，才能真正构筑起车联网时代的数据安全防线。

参考链接：