撰文 / 錢亞光

設計 / 琚 佳

來源 / www.spiegel.de, electrek.co, www.theverge.com

近日，據德國《明鏡周刊（Der Spiegel）》報道，由于數據泄露，大眾集團的約80萬輛電動汽車的敏感位置數據，在數月內一直暴露在未受保護的云服務器上。

這一漏洞是由一名舉報人首先向《明鏡周刊》和歐洲最大的黑客組織“混沌計算機俱樂部（Chaos Computer Club, CCC）”通報的。該漏洞影響到大眾旗下汽車品牌的電動汽車，包括大眾、奧迪、西雅特（Seat）和斯柯達等品牌，且這一影響是全球性的。

據Electrek報道，此次數據泄露源自大眾汽車內部運行的軟件，電動汽車的敏感數據被暴露在未受保護的云存儲系統中，使得任何知道如何查找的人都能獲取私人信息。這可能會讓不法分子追蹤到車主的確切行蹤。其中包括德國、歐洲及其他地區大眾汽車及其旗下其他汽車品牌的車主的聯系信息和行動數據。

當大眾汽車推出其時尚的ID系列電動汽車及配套移動應用程序時，承諾帶來便利和創新。但在光鮮亮麗的數字進步界面背后，卻隱藏著一個嚴重的安全失誤，如今已被曝光。

問題的嚴重性

《明鏡周刊》發現，大眾汽車旗下負責軟件業務的子公司 Cariad 存在漏洞，使得攻擊者能夠找到并訪問存儲在亞馬遜云存儲服務中的駕駛員數據。這些數據“可能與駕駛員的姓名和聯系方式相關聯”。

這些資料包含精確的GPS位置信息，能夠追蹤車輛停放的具體地點和時間。無論是在私人住宅前、政府大樓旁，甚至是一些不太體面的地方，這些信息都公之于眾。更糟糕的是，這些數據通常還能通過與之并存的車主姓名和聯系方式直接與車主關聯起來。

《明鏡周刊》指出，被曝光的數據包括數TB的信息，存儲了涉及大約80萬輛電動汽車的位置數據，該數據集詳盡記錄了46萬輛汽車的“高精度”位置記錄。

報告稱，大眾ID.3和ID.4的車主受影響尤為嚴重，奧迪、西雅特和斯柯達的車主也受到了此次安全漏洞的影響。

據報道，此次漏洞涉及漢堡警察局車隊中35輛電動汽車的信息，以及公眾人物、企業領導人、聯邦情報局員工的信息，甚至包括位于拉姆施泰因空軍基地的美國空軍車輛。

據《明鏡周刊》稱，大眾和西雅特汽車的數據“精確到10厘米以內”，而奧迪和斯柯達車型的位置數據也精確到10公里以內。

據《明鏡周刊》報道，它能夠以驚人的精度追蹤兩名德國政客的行蹤，德國國防委員會的一名成員在其父親的養老院和該國軍事基地的位置被精確顯示出來。

而德國托斯特特市市長娜迪亞·韋珀特（Nadja Weippert）也發現自己數據被曝光的用戶之一，泄露的數據可以描繪出她從工作地點到理療師診所的行程。她告訴《明鏡周刊》：“我很震驚，我的數據居然未經加密就存儲在亞馬遜云端，然后還得不到充分保護。”

問題出在哪里

據The Verge的一份報告指出，問題的核心在于大眾汽車的軟件子公司Cariad，其負責為大眾的電動汽車系列打造先進的數字平臺。

這款由大眾汽車子公司Cariad開發的互聯汽車應用程序旨在成為汽車及其功能的延伸。與類似的汽車制造商應用程序一樣，Cariad應用程序允許車主遠程啟動車輛、管理氣候控制、查看電池充電狀態等。

該應用程序還收集GPS信息和駕駛數據，并將其發送回汽車制造商。Cariad告訴《明鏡周刊》，收集“客戶的充電行為和習慣的匿名數據”是為了改進電池和相關軟件。Cariad還聲稱，這些信息不會與公司內部的其他數據集合并，因此無法將個人與車輛檔案關聯起來。

這其實無關緊要，因為夏季的一次失誤導致這些敏感信息未加密且暴露無遺，就像一道敞開的傷口，等著網絡攻擊者往上面撒鹽。盡管這些信息并沒有專門設立一個名為“80萬份免費個人信息，包括政客”的網站，但《明鏡周刊》稱，只要知道在哪里找，獲取這些信息對“無聊的青少年來說”都輕而易舉。

受影響的車輛中，有30萬輛在德國。不過，據《明鏡周刊》報道，其他歐洲國家以及世界其他地區的車輛也屬于數據未受保護的范圍。

據報道，由于Cariad公司的亞馬遜網絡服務（AWS）云環境配置錯誤，致使這些敏感數據極易被獲取。糟糕的網絡安全使得原本不顯眼的 Cariad 網站和子頁面變得十分顯眼，其文件擴展名也容易猜測。

其中一個擴展名導致了Cariad內部一款應用程序最近的內存轉儲，無需密碼即可訪問，而且數據轉儲中包含了登錄亞馬遜云存儲設施的憑證，其中存有所有敏感的車輛信息。

要明確的是，這并非什么難以觸及或隱秘的數據庫，只需使用一些在網上就能輕易獲取的基本黑客工具，就能輕而易舉地獲取到這些珍貴的數據寶庫。

此次數據泄露事件凸顯了大眾汽車在數據管理和安全系統方面存在的嚴重缺陷，對于這家在軟件開發和電動汽車領域本就難以跟上競爭對手步伐的公司而言，這無疑是個痛點。而此次事件發生的時機更是糟糕透頂。

隨著汽車制造商紛紛向自動駕駛汽車和互聯汽車系統邁進，消費者對其保護數據的能力充滿信任至關重要。這一事件不僅難以提振信心，也無助于這家德國企業改善其低迷的銷售業績。

想想其中的危險：犯罪分子可能會利用這些信息從事各種惡意活動，包括有針對性的跟蹤、敲詐勒索，甚至人身攻擊；犯罪分子可能會利用這些數據進行有針對性的網絡釣魚詐騙，冒充大眾汽車代表獲取支付信息；跟蹤者和施暴者能夠極其精準地定位到個人的位置。甚至情報機構也可能從追蹤頻繁出入政府大樓或軍事基地等敏感地點的車輛中獲取價值。

問題的處理

大眾汽車表示，該錯誤現已得到糾正，相關信息已無法訪問。大眾還稱，此次泄露的數據中不包含密碼和支付信息，最初只有注冊了在線服務的部分車輛面臨風險。

Cariad告訴《明鏡周刊》，該漏洞是“配置錯誤”，這些信息不會與公司內部的其他數據集合并，因此無法將個人與車輛檔案關聯起來。據該公司稱，研究人員必須“繞過多個安全機制”才能將不同的數據集合并起來。

盡管Cariad堅稱沒有財務信息或個人身份信息遭到泄露，但暴露的位置數據仍有可能被濫用，這依然是一個重大威脅。位置數據和個人信息絕非無害，一旦落入不法分子手中，就會成為他們牟利的金礦。

CCC對Cariad技術團隊在接到通知后迅速采取行動解決該問題表示稱贊。然而，問題依然存在：如此明顯的漏洞為何長期未被發現？現代網絡安全措施旨在在這些隱患演變成全面危機之前就將其標記出來。對于像大眾汽車這樣以技術進步為傲的公司來說，這無疑是一個極其尷尬的時刻。

更深遠的影響

這一事件也提醒了汽車行業面臨的一個更廣泛的問題：汽車的個人隱私和信息安全如何保障？

如今的汽車本質上就是帶輪子的電腦，通過數百個傳感器收集海量數據。從電池健康狀況到駕駛習慣以及確切位置，制造商對每輛車都掌握著詳盡的信息。盡管各公司聲稱這些數據用于改進服務和產品，但有關這些信息如何存儲、保護和共享的透明度仍不明朗。

大眾汽車并非唯一一家陷入數據困境的企業，但這絲毫不能讓人感到寬慰。此類事件引發了諸多關鍵問題：車輛生成的數據歸誰所有？制造商？車主？消費者對這些信息又擁有哪些權利？

2023年5月，豐田承認，由于云服務平臺設置錯誤，其日本車主數據庫在近10年間“門戶大開”，約215萬日本用戶的車輛數據蒙受泄露風險，為此豐田向客戶致歉。

2023年10月，愛爾蘭利默里克的一家私人技術承包商泄露了超過50萬份愛爾蘭警方車輛扣押記錄。其中包含與愛爾蘭國家警察Garda Síochána扣押車輛相關的敏感信息，可能會影響數千名車主。

2023年9月，非營利組織Mozilla基金會發布了一份報告，指出汽車是其評估過的所有產品中隱私保護最差的類別。Mozilla的調研人員選取了包括奔馳、寶馬、奧迪、特斯拉、大眾等25個知名汽車公司，涉及美國和歐洲市場。

根據報告，所有品牌都收集了超出必要的數據，并將其用于除操控車輛和管理與客戶關系之外的目的，且大多數承認會將這些信息分享或出售給第三方。

其中有92%的汽車公司很少或根本不給用戶提供個人數據控制權，84%的汽車公司會與第三方共享用戶數據，39%的汽車公司則明確表示，他們可能會將相關數據出售給第三方。

在接受調查的25個汽車品牌中，在過去三年中，超過三分之二的公司曾遭遇數據泄露或其他安全事件。

Mozilla得出的結論是，如今的汽車是“隱私噩夢（privacy nightmare）”。

歐盟已著手采取行動，即將出臺的《數據法案（Data Act）》旨在賦予車主更多對其數據的控制權。然而，該法案要到 2025年底才會生效，這期間仍有大量時間可能出現更多失誤，或許現在是時候讓當地政府關注這一問題，并在必要時加以解決。

對于大眾汽車而言，當下的直接損失在于聲譽。該公司長期以來一直將自身定位為德國工程技術卓越的象征，但此次數據泄露事件進一步損害了這一形象。這也引發了人們對汽車行業是否為互聯未來所面臨的挑戰做好準備的質疑。如果汽車制造商都無法保護好當下的數據，又怎能向我們保證，未來的自動駕駛汽車不會受到黑客或其他惡意人員的攻擊呢？

這次事件不僅給大眾汽車敲響了警鐘，也是整個汽車行業的一記警鐘。汽車已不再僅僅是機器，它們還是個人和敏感信息的存儲庫，隨之而來的責任是制造商再也無法忽視的。