继蔚来汽车数据泄露后,沃尔沃再遭数据窃取,泄露200GB用户数据
2023-1-5 17:53:23 Author: 谈思实验室(查看原文) 阅读量:15 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

法国网络安全机构 Anis Haboubi 近日注意到,一名攻击者在一个流行的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。

2022 年 12 月 31 日,论坛上一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。

此次攻击者并未索要赎金反而公开出售这些数据的原因是因为他们并不认为受害人会支付赎金。

在出售的数据包括:数据库访问、CICD 访问、Atlassian 访问、域访问、WiFi 点和登录、身份验证承载、API、PAC 安全访问、员工列表、软件许可证以及密钥和系统文件。

同时,在出售的数据中还包括所有现有车型和未来车型的信息,并发布了一系列截图作为黑客攻击的证据。

目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。

汽车数据安全事件频发

伴随汽车智能化、网联化的快速发展,以及应用场景的不断丰富,近年来,以汽车数据为核心的新安全问题日益凸显,汽车数据安全事件频发。

2022年12月,“蔚来汽车数据泄露”的消息在网上传的沸沸扬扬,被泄露的数据包括蔚来内部员工数据22800条、车主用户身份证数据399000条,攻击者以数据泄露勒索225万美元的比特币。蔚来老板李斌深夜道歉,并郑重承诺,对因本次事件给用户造成的损失承担责任,并协调执法机关深入调查。

2021年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。同年12月,沃尔沃汽车运营的研发数据也遭遇黑客入侵,沃尔沃称在入侵期间公司的有限数量的研发财产被盗,并称此次黑客攻击“可能对公司的运营产生影响”。

2022年5月,通用汽车也曾发布声明称,其注意到2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。此外,同年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。

近年来,众多汽车厂商均受到数据安全问题影响,这其中究竟是谁的责任,用户的数据安全如何才能得到保障?

汽车数据安全如何守住底线

随着智能汽车的快速发展,汽车数据处理能力增强,汽车数据安全暴露的风险也日益突出。

自手机与车机结合以后,汽车会存储个人社交账号、支付密码、家庭信息、车架号等个人隐私数据。如果对智能汽车数据安全放任不管,会对国家和社会的安全,对个人隐私保护带来重大隐患。

一边是智能网联汽车的蓬勃发展需要良好的市场环境,一边是用户对数据安全违法犯罪的“零容忍”。如何在保护用户隐私、保障数据安全的同时,又不伤害到产业的健康发展?智能汽车需要守住数据安全底线。

近年来,我国也在加快制定相关法律法规,保护数据安全。其中,工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。

此外,我国首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》则首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。

相信在未来几年整车信息安全会有更多的行业标准出台。从整个行业的角度进一步约束、加强立法、加速行业合作、打破数据壁垒,建立可信汽车数据流通渠道等,在满足数据安全要求的同时,营造一个健康的市场环境。

参考来源:

https://securityaffairs.com/140258/hacking/volvo-cars-data-breach-2.html?_ga=2.113872455.1981946902.1672797606-334848698.1666665235&_gl=1*1cyylsu*_ga*MzM0ODQ4Njk4LjE2NjY2NjUyMzU.*_ga_8ZWTX5HC4Z*MTY3Mjc5NzYwNS45NS4wLjE2NzI3OTc2MDUuMC4wLjA.*_ga_P62M3QN974*MTY3Mjc5NzYwNi45NC4wLjE2NzI3OTc2MDYuMC4wLjA.

WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中 , 欢迎报名

来源:FreeBuf

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247517280&idx=1&sn=d9220190c315576eb2ab57bd8d7de48a&chksm=e927c0bbde5049ad96aec92e8bcbb09035f8311f52941890197e2ac849f3030bc1d1222a25a2#rd
如有侵权请联系:admin#unsafe.sh