【谈思月度盘点】1月汽车网络安全产业事件榜Top10
2023-2-2 17:56:30 Author: 谈思实验室(查看原文) 阅读量:26 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

作为国内最早专注于汽车网络安全领域的产业社区,从2017年起,连续7年深耕智能汽车网络安全、数据安全、信息安全等汽车创新技术,为汽车行业提供最优质的学习交流机会,通过线上线下交流活动服务超过数万名汽车网络信息安全行业同仁,并依托强大的产业及专家资源,致力于打造汽车安全产业一流高效的商务平台。谈思实验室是中国汽车网络安全产业发展的观察者、见证者,更是记录者,我们将和同仁们一起为汽车网络安全落地献智献策,探讨智能汽车行业的新方向,共同拓展汽车网络安全产业新机遇!

从2023年1月开始,每月我们都将为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等,助力大家把控行业动态,关键信息一网打尽!

1

继蔚来汽车数据泄露后,沃尔沃再遭

数据窃取

1月5日,法国网络安全机构 Anis Haboubi 注意到,一名攻击者在一个流行的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。

2022 年 12 月 31 日,论坛上一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。在出售的数据包括:数据库访问、CICD 访问、Atlassian 访问、域访问、WiFi 点和登录、身份验证承载、API、PAC 安全访问、员工列表、软件许可证以及密钥和系统文件。

目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。

2

全球顶级汽车品牌全面沦陷,API应用安全

再次敲响警钟!

面向API应用的网络攻击已经开始对各大企业组织造成严重的破坏。因此,每家组织都需要提升对API应用安全的重视度。近日,网络安全研究员Sam Curry和他领导的研究团队,在数十家全球顶级汽车制造商生产的车辆和车联网服务中,发现了许多API应用缺陷,利用这些缺陷,攻击者可以进行广泛的恶意活动,从非法窃取车主个人隐私信息,到远程解锁车辆、监控车辆等。

Sam Curry表示,通过深入的研究分析和实际测试,他的团队发现API应用安全问题几乎影响了目前所有主流的汽车品牌,包括奔驰、宝马、劳斯莱斯、法拉利、保时捷、捷豹、路虎、本田、英菲尼迪、日产、讴歌、丰田、福特等20多个知名品牌。此外,研究团队还发现,在Reviver、SiriusXM和Spireon等主流车联网服务商的应用方案中,同样存在大量严重的API安全缺陷。

据了解,通过利用所发现的API安全缺陷,研究人员成功进入了配置不当的SSO系统,成功访问了奔驰、宝马等车企的多个内部业务系统,以及其中大量的员工和客户信息数据。例如对奔驰公司的测试中,研究人员成功访问了多个私有GitHub实例、Mattermost上的内部聊天频道、服务器、Jenkins和AWS实例,并连接到客户车辆的XENTRY系统等;而在对宝马公司的测试中,研究人员通过访问内部经销商网站,超权限查询了客户汽车的VIN,并检索出了包含敏感车主详细信息的销售文档。一旦这些安全问题被真实的攻击者发现,后果将不堪设想。

3

本月起,正式施行!上海市公共数据

开放实时细则介绍

4

继蔚来汽车数据泄露后,沃尔沃再遭

数据窃取

1月15日,上海浦东一位理想汽车车主表示,自己夜间驾驶购买仅一个月的理想汽车出行时,无意间发现自己车辆中控屏突然显示车辆后方有人追车,而自己反复检查后发现车后并没有人,过了一段时间,中控屏上的小人则自行消失了。

该视频在网上曝光后,不少网友表示:“好家伙,这要是女司机,岂不是吓哭”、“车主心真大,还敢回头确认”、看起来十分诡异”、“又是灵异事情?”。针对该事件,理想客服人员告知车主可能是下雨影响雷达判断,需将相关部位擦干净;理想汽车售后服务人员则表示,L2级别的辅助驾驶以人的判断为主,在雨雪天气、夜间和大雾等情况下,有识别错误的可能。

理想汽车官方发布微博回应:“理想车主夜间驾车中控显示有人追车既不是灵异事件,也不是误入了高维空间翘曲碎片,而是理想L8 Pro(AD Pro平台4.2版本)视觉感知算法的BUG,有一定概率在雨天夜间的环境,后视相机被水滴所干扰”。

5

滴滴出行通过网络安全审查:即日起恢复

新用户注册

1月16日,@滴滴出行 发布微博称,即日起恢复“滴滴出行”的新用户注册。以下为全文:

一年多来,我公司认真配合国家网络安全审查,严肃对待审查中发现的安全问题,进行了全面整改。经报网络安全审查办公室同意,即日起恢复“滴滴出行”的新用户注册。后续,公司将采取有效措施,切实保障平台设施安全和大数据安全,维护国家网络安全。

6

正式启动:AutoSec 行业7周年年会暨中国

汽车网络安全与数据安全合规峰会

2023年5月10-11日,谈思实验室Taas Labs将在上海举办AutoSec 7周年年会暨中国汽车网络安全及数据安全合规峰会。本次峰会聚焦汽车网络安全、数据安全、信息安全、国内外法律法规、数据跨境合规、汽车信息安全实验室运营、汽车测绘地理信息安全等,旨在汇聚汽车行业最新研究与实践成果,展示网络安全、数据安全方面的优秀解决方案,与大家一起共谋未来行业发展,共克行业发展难题。

过去7年里,谈思实验室AutoSec和业内同仁们共同见证了中国汽车网络数据安全行业翻天覆地的变化,从0到1、逐步发展,并不断向成熟迈进。此次7周年庆典正是行业专家、过往老朋友们的欢聚时刻,将是群贤毕至的产业盛况,共话汽车安全生态!AutoSec 7周年年会,既是总结既往,也是规划全年。

7

第一届CAVD杯汽车信息安全挑战赛圆满

闭幕

2023年1月17日,由中汽智联技术有限公司主办的“第一届CAVD杯汽车信息安全挑战赛”国圆满闭幕。本次比赛为期15天,累计200余人报名参与,选手围绕4台整车,10余个智能网国联零部件开展漏洞挖掘。

中汽信息安全研究中心在赛前筹备、比赛启动、现场实施、漏洞审核等环节精心部署,力求为选手提供完备的赛事机制与技术环境使选手全身心投入到赛事活动中,为圆满完成此次汽车信息安全挑战赛提供了保障。

8

突发!俄罗斯科技巨头Yandex内部源

代码全部泄露

1月28日消息,俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,相关数据已在某个流行黑客论坛上以BT种子形式泄露。

外媒BleepingComputer与Yandex公司前高级系统管理员、开发副主管兼技术传播总监Grigory Bakunov讨论了此次泄露事件。Bakunov对泄露的代码内容非常熟悉,曾在2002年至2019年期间在这家俄罗斯科技巨头工作。Bakunov解释称,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手。这位前高管补充道,泄露内容不包含任何客户数据,因此不会对Yandex用户的隐私或安全构成直接风险,也不会导致专有技术外流。

9

长城汽车原总经理王凤英正式加入小鹏

汽车任总裁

1月30日,小鹏汽车宣布,知名汽车人士王凤英女士正式加入小鹏汽车,出任总裁一职。她将全面负责公司的产品规划、产品矩阵以及销售体系,并向小鹏汽车董事长、CEO何小鹏汇报。在加入小鹏汽车之前,王凤英女士曾于长城汽车工作超过三十年,从一线销售做起,至副董事长、总经理,是中国汽车行业著名的“铁娘子”。王凤英女士毕业于天津财经学院,并获经济学硕士学位。

小鹏汽车董事长、CEO何小鹏表示:我们热烈欢迎王凤英女士的加入。在过去的三十年里,王凤英凭借深厚的行业经验和实践,缔造了一个又一个得到市场充分认可的现象级产品。我们期待她的加入能够给“智能化+汽车”的融合带来更多不一样的火花。今后的五年是全自动驾驶汽车的五年,更远的十年是无人驾驶汽车的十年,小鹏汽车将继续坚定地践行智能化战略。我们也相信王凤英这样优秀人才的引进,将为小鹏汽车从一到二的行稳致远提供更有力的管理支持。

10

微软安全去年营收超1300亿元,但霸主

地位背后争议难解

1月31日消息,微软安全业务在2022年销售额创下历史新高,年收入超过200亿美元(约合人民币1351亿元)。但亮眼成绩之下,也引发了业界对微软这种“科技巨头+安全供应商”双重身份的激烈争论。

微软在财报电话会议上透露,其安全业务收入同比增长33%,相较前年更是提升50%。考虑到当前整体低迷的经济形势,微软安全业务的营收增速已超过集团旗下其他所有主要产品。

微软CEO萨提亚·纳德拉(Satya Nadella)在财报电话会议上表示,“微软是唯一一家涵盖身份、安全、合规、设备管理及隐私的端到端集成工具供应商,每天收取和训练超65万亿个信号。我们在提供的所有主要产品类别中都占有一席之地。”纳德拉强调,过去一年来,在微软平台上使用四种或更多工作负载的客户数量增加了40%以上。市值44亿美元的英国体育用品零售商Fraser’s Group就决定将以往的十家安全供应商整合为微软一家。

为汇集汽车网络安全产业信息,如果大家有推荐或自荐的新闻,可以添加微信 taaslabs01 来联系小编哦~~

码上报名

2023第六届无人驾驶及智能驾舱中国峰会,5月10-11日,上海

码上报名

AutoSec 7周年年会暨中国汽车网络安全及数据安全合规峰会,5月10-11日,上海

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247518297&idx=1&sn=2eb63d1f5200305ed8c875eaff2313b1&chksm=e927cc82de5045944690e8a3e6fcdfe69f949b90a232ed7d167d18e43cf90794443f9157936f#rd
如有侵权请联系:admin#unsafe.sh