丰田车主信息泄露范围扩大,智能网联时代车企数据安全挑战更大

丰田云服务泄露用户信息一事有新进展。

5月31日,据外媒报道,丰田汽车误将部分客户信息在互联网公开一事,所涉及的日本国内用户比之前披露的数字增加了26万人。

此外,该公司在大洋洲和亚洲一些国家的客户信息可能从2016年10月到2023年5月间也可以在互联网上被查询到,其中涉及客户的姓名、地址、电话号码以及车辆识别号等信息。

此前5月12日,丰田宣布,由于人为错误,丰田服务器中的云配置错误可能泄露了200多万客户的敏感信息。且时间跨度长达11年——从2012年至今注册丰田云服务的用户都牵涉其中。

云配置错误意味着,未经授权的各方可以访问在这期间订阅丰田服务T-Connect、G-Link、G-Link Lite和G-BOOK用户的敏感信息。这些数据包括:车辆的位置信息、车辆在上述位置的时间以及车载终端ID和车辆识别号(VIN)。

在2016年11月14日至2023年4月4日期间,未经授权的各方可能还能够访问“使用从丰田提供的企业服务中收集的驾驶记录仪在车外拍摄的视频”。

为了防止进一步的信息泄露,丰田汽车表示,它将“彻底教育员工并努力防止再次发生”,并引入“一个系统来审计云设置,对云环境进行设置调查,并建立一个持续监控设置状态的系统”。

丰田表示,这套系统一旦发现配置错误,就会实施流程,以防止进一步的数据泄露。该公司还表示,它将调查丰田管理的所有云环境,以防止进一步的云配置错误和泄露。

除了建立一个专门的呼叫中心来“回答客户的问题和顾虑”外,丰田还将联系所有受泄露影响的人。

解决问题的态度可以说比较良好。但不幸的是,这不是丰田第一次卷入用户数据泄露事件。

2022年10月7日,丰田在发现第三方可能在2017年12月至2022年9月期间未经授权访问客户详细信息后发表了道歉。

发生漏洞是因为T-Connect的源代码的一部分存储在存储库“GitHub”上,该应用程序允许客户将手机连接到汽车。由于源代码包含服务器的访问密钥,这可能允许未经授权即可访问客户数据。

从2017年12月到2022年9月注册该应用程序的任何客户都有被访问其数据的风险,这意味着潜在的296,019名客户的数据可能已被泄露。可用的信息包括电子邮件地址和客户管理号码等。在进行了安全调查后,丰田表示,对于面临数据泄露的客户究竟有没有被第三方非法获取过,这家公司给不出确定答复。

信息安全事故在当下汽车行业并非孤例。

去年12月,蔚来汽车公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。经调查,被窃取数据为2021年8月之前的部分用户信息和车辆销售信息。勒索者列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。

去年5月,通用汽车曾发布声明称,其注意到2022年4月11日至29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。

智能网联汽车网络安全与数据安全在产业发展中具有举足轻重的作用,数据一旦被泄露或滥用,不仅可能造成经济财产损失,还有可能造成人身伤害,甚至影响国家安全。

数据显示,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。而目前,大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略。

智能时代,汽车中越来越多的功能从“本地控制”变为“云控制”。车企在宣扬自家算力、交互功能的先进性时,也需要进一步加强数据安全意识和风险防范。