5月31日,丰田汽车表示,由于云端设置错误,亚洲和大洋洲一些国家(不包括日本)的客户信息可能在2016年10月至2023年5月期间被允许公开访问,这些信息包括姓名、地址、电话号码、电子邮件地址以及车辆识别和登记号码。
(资料图片仅供参考)
在这一消息被曝出之前,丰田汽车已于今年4月17日承认,由于云平台系统设置错误,其日本车主数据库在近10年间“门户大开”,约215万日本用户的车辆数据蒙受泄露风险。其中包括丰田旗下品牌雷克萨斯的部分车主。丰田同时表示,目前数据并没有被恶意使用的报告。丰田的一名发言人说,从2013年11月至今年4月,由于人为错误,丰田云平台系统的账户性质被设置为“公共”而非“私人”,这导致车辆的地理位置、识别号码等数据处于开放状态。
之所以这么久没发现,是由于丰田云服务缺乏“积极监测机制”,丰田今后将引入持续审核云服务设置的制度,并在数据处理规范方面严格培训员工。
如今看来,丰田汽车“积极监测机制”尚未发挥功效,并且由于云端设置错误导致用户车辆数据存在泄露风险,不仅波及了日本车主,还包含了更多亚洲和大洋洲一些国家车主,可谓无差别对待。根据丰田汽车2022年财报显示,2022财年丰田日本本土市场销量达140.72万辆;亚洲地区销售327.59万辆,北美地区销售239.98万辆,欧洲地区销售104.43万辆。并没有特别披露大洋洲的销量情况。
从丰田汽车销量分布区域来看,亚洲作为丰田汽车的主要市场,此次云端配置错误将使得亚洲车主信息泄露成为重灾区。其中或将包括众多中国车主。
不仅仅是丰田汽车,最近关于特斯拉的新闻也让自动驾驶的数据安全再次被推到舆论的漩涡。一位对特斯拉“心怀不满的前员工”,在离职前盗取了公司机密文件,并以此作为举报材料提供给《德国商报》,让这家全球最大的电动汽车制造商颜面扫地。该名前员工盗取的数据文件集高达100GB,从员工工资、客户银行信息,到车辆生产信息和数千份关于特斯拉自动驾驶系统的客户投诉应有尽有,甚至马斯克本人的社保号码以及私人邮箱和电话也涵盖其中。
早在4月份,这名特斯拉前员工就向德国当局披露了公司存在数据保护漏洞,这才让他有机可乘。不过,即便是离职员工行为,特斯拉也会因未能充分保护客户、员工和商业伙伴的数据,触犯欧盟的《通用数据保护条例》(GDPR)。目前,荷兰数据保护局已对超过2.3万份数据文件的泄露,介入并展开了详细调查。一旦违规行为被证实,特斯拉恐将被欧盟监管机构处以32.6亿欧元(约合人民币247亿)的巨额罚款。
这并非特斯拉第一次被指控违反数据保护条例。上个月有9名特斯拉前员工向路透社透露,在2019年至2022年期间,他们通过内部消息系统分享了客户车载摄像头拍摄的高清视频和照片。
丰田和特斯拉接连发生的数据泄露事件,除了将使两大车企遭受史无前例的信誉危机和法律风险,也给汽车行业信息安全保护再次敲响警钟。
事实上,随着数字化时代的到来,以及智能汽车的不断发展,汽车与各类软件绑定程度不断加深,这就导致了车企数据库成为黑客攻击的目标之一。仅2022年,各大车企便出现了多起数据泄露:
2022年5月,通用汽车注意到2022年4月11日至29日期间,部分在线客户账户出现了可疑登录,在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡; 2022年6月,在暗网交易市场,奥迪汽车的销售数据被售卖,价格200美元,据传数据达到179万条; 2022年12月更是个“多事之秋”,多个品牌数据遭泄露,其中13万奔驰车主数据在暗网遭公开;同时,相关人士爆料有一位攻击者正在黑客论坛上出售沃尔沃汽车的敏感数据;除此之外,“蔚来汽车数据泄露”的新闻也闹上了头条热搜,据传被泄露的数据包括22800条蔚来内部员工信息、399000条车主用户身份证数据,攻击者以此勒索225万美元的比特币。经过蔚来汽车内部初步的调查,承认被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息。被泄露的车主信息将会流向哪里,会给人们的生活带来什么样的安全隐患,诸多没有答案的问题成了悬在人们头上、不知何时落下的一把刀。为了砌起安全之“墙”,欧盟、美国等地都在加速完善法律法规。中国也接连推出《网络安全法》、《数据安全法》和《个人信息保护法》,为保护用户隐私安全提供法律依据。除此之外,在首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》中,我国清晰界定了“汽车数据处理者”和“重要数据”类型等内容;在工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中,国家明确表示企业应当建立汽车数据安全管理制度,依法履行数据安全保护义务。
不少车企已经在行动。例如蔚来经过去年的泄露门事件就表示已对公司的信息安全体系进行隐患排查和安全强化,并将加强技术力量,提升信息系统的安全防护能力,充分保护用户信息安全。
然而,在新旧能源汽车激烈竞争的当下,很多企业尚未实现盈利,连温饱问题都没解决,就要每年花上数亿元养一个安全团队,显然不现实。此外,汽车行业的数据安全和隐私保护贯穿了从开发、生产、量产维护及运营甚至报废的全生命周期。车企更多关注的是整车的生产、营销、产品功能,更愿意冲销量创业绩,而不是批足够多的预算投入到安全建设中,安全意识还远远不够。
此外,一位云厂商技术服务专家表示,云上安全与以往的IT运维有很大的区别,云上配置很多传统IT运维并不了解,要么配置错误要么没有配置都很常见,“很多都是一览无余或者极易被入侵的。”
不过,丰田和特斯拉接二连三的数据泄露事件,必然会促使汽车行业对数据安全和隐私保护的进一步思考。特别是在汽车智能化时代,为“裸奔”的信息数据加把“锁”,正在变得越来越重要。希望更多的车企能真正把用户信息安全保护放在心上,切实做好云上数据安全防护。