最近几年,安全漏洞一直影响着各大车企,既有法拉利、保时捷这样的超豪华品牌,也有丰田、福特这样的资深汽车玩家。据不完全统计,包括通用汽车、菲亚特克莱斯勒、特斯拉、大众等在内的100多家汽车相关企业的机密数据曾被泄露。
日前,据外媒TechCrunch报道,汽车巨头宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。研究人员Can Yoleri表示,其在例行扫描时发现宝马开发环境中的微软Azure托管存储服务器(也称“存储桶”)被配置为公共而非私有。
Yoleri补充说,该存储桶中包含“脚本文件,其中包括Azure容器访问信息、访问私有存储服务器地址的密钥以及其他云服务的详细信息”。
据悉,此次暴露的数据包括宝马在中国、欧洲和美国的云服务私钥,以及宝马生产和开发数据库的登录凭证,不过目前尚不清楚具体有多少数据被暴露。同时,宝马发言人已证实,此次数据泄露影响了基于存储开发环境的微软Azure存储桶,并表示没有客户或个人数据因此受到影响。该发言人补充说:“宝马集团已于2024年初修复了这一问题,我们将继续与合作伙伴一起监控情况。”
然而,尽管宝马公司表示已经修复了这一问题,但按照TechCrunch的报道,宝马公司不愿说明云存储服务器暴露事件持续了多长时间,也不愿透露被暴露的数据是否已遭恶意访问。根据研究人员Yoleri的说法,宝马还未撤销或更改在被暴露的云存储服务器中发现的密码和凭证集。这一现状让人对宝马的信息安全措施产生了深深的质疑。
就宝马数据泄露一事,360公司创始人董事长兼CEO周鸿祎在社交平台公开评论称,未来企业最核心的是数字资产,近年数据泄露事件一再提醒我们数据安全建设刻不容缓。“新能源车是烧数据。未来的世界主要由数据来驱动,汽车的云端大数据系统被破坏勒索,很多车会趴窝。今天人工智能的数据训练集被污染,最终的结果便会出现极大偏差。”
《汽车专业网》编辑注意到,就在不久前,另一家汽车巨头奔驰也出现过类似的数据安全事故。RedHunt实验室的研究人员在一个属于Mercedez员工的公共仓库中发现了一个GitHub令牌,该令牌可以访问公司内部的GitHub企业服务器。RedHunt Labs在公告中写道:GitHub令牌允许“不受限制”和“不受监控”地访问托管在内部GitHub企业服务器上的全部源代码。
这一事件直接导致存放大量知识产权的敏感存储库数据泄露。其中,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO密码、API密钥和其他敏感内部信息。
据了解,源代码泄露可能会导致竞争对手对专有技术进行逆向工程,黑客很可能通过这种方式发现汽车系统中的潜在漏洞。
此外,API密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。RedHunt实验室还提到,如果被暴露的存储库中包含客户数据,则有可能触犯法律,比如违反GDPR(《通用数据保护条例》)。不过,研究人员尚未验证被暴露文件的内容。
对于此次事件,奔驰回复称,目前可以确认的是人为错误,奔驰的内部访问令牌的源代码被发布到了GitHub公共仓库上。并且该令牌允许外部人员访问一定数量的仓库,但不能访问托管在内部GitHub企业服务器上的全部源代码。现已撤销了相应的令牌,并立即删除了公共存储库,所以目前客户数据未受影响。
事实上,除了宝马奔驰,近年来,各大车企数据泄露事件屡见不鲜。可见,汽车产业变革之际,数据安全泄露问题日益突出。不具名汽车行业分析师认为,“随着汽车智能化进程的推进,与汽车相关的数据类别和数量都呈现爆发式增长,因此车企和个人将面临更大的数据安全挑战。”
