2023年汽車網絡數據安全產業發生了哪些大事？

2023年是不平凡的一年，它是正式步入安全強合規時代的大年，但汽車網絡與數據安全事件卻又頻頻被爆出，甚至顯示出越來越激烈的趨勢，安全挑戰不斷升級。除汽車網絡安全難題外，數據安全及隱私泄露問題也越演越烈，逐漸走向安全舞臺的中央。這里談思實驗室整理了國內國際汽車網絡數據安全產業事件榜Top 20，供業內同仁們交流探討，歡迎大家補充指正。那就讓我們一起回顧2023年我們共同見證了哪些安全大事件吧！

01

滴滴出行通過網絡安全審查，重新恢復上架

時隔一年半，滴滴出行重新恢復用戶注冊。1月16日，滴滴在官方微博發布公告稱，過去一年多，公司認真配合國家網絡安全審查，嚴肅對待審查中發現的安全問題，并進行了全面整改。經報網絡安全審查辦公室同意，即日起恢復“滴滴出行”的新用戶注冊。事實上，此次公告發布前夕，滴滴重新恢復上架的消息已經在業界流傳。

據此前報道，2021年7月2日，網信中國發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》。公告稱，將對“滴滴出行”實施網絡安全審查，審查期間“滴滴出行”停止新用戶注冊。隨后，滴滴旗下“滴滴出行”等26款App被下架。

同年7月16日，國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司，開展網絡安全審查。

2022年7月21日，國家互聯網信息辦公室對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

同日，國家互聯網信息辦公室有關負責人就對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定答記者問。其中提到，滴滴公司共存在16項違法事實，包括違法收集用戶手機相冊中的截圖信息、過度收集乘客人臉識別信息等。

02

小米雷軍兩會上就汽車數據安全問題建言，呼吁構建完善汽車數據安全管理體系

3月4日，全國人大代表，小米集團創始人、董事長兼CEO雷軍在兩會上針對“構建完善汽車數據安全管理體系”提出具體建議。在汽車數據安全管理體系方面，雷軍認為智能網聯汽車作為車輪上的數據中心，其承載的行駛軌跡、生物特征等敏感個人信息，及地理信息、車外影像等，既是數字經濟發展的重要要素資產，也給個人隱私、國家公共利益與安全帶來了挑戰。

在《關于構建完善汽車數據安全管理體系的建議》中，雷軍指出：目前國家已發布若干汽車相關的數據安全推薦性國家標準，規范了網約車服務及汽車數據采集等部分場景要求，尚無法覆蓋到研產供銷全業務領域。為此雷軍建議，由主管部門牽頭，定義汽車數據分類分級規則，加快制定圍繞汽車生命周期和數據生命周期兩條主線的數據安全標準，指導產業發展。同時建立智能網聯汽車數據安全認證制度、數據安全評級及公示制度，提升行業透明度與可信度。另外，雷軍還指出，當前各車企間數據尚未實現有效安全流通，數據孤島普遍存在，數據價值無法充分發揮。他建議，應當在保障數據安全的前提下，構建汽車數據共享機制及平臺，讓各車企間的數據實現流通，將數據轉化為社會生產力。

03

號稱最安全的汽車品牌，Volvo再被曝泄露大量用戶信息

4月13日，據調查發現，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續通過其網站泄露敏感文件，這些信息可能會被一些不懷好意的人拿來用于劫持官方通信渠道或者直接入侵公司的系統。

美國數字安全調查媒體的相關人員聯系了Dimas Volvo和負責沃爾沃總部數據保護的相關官員，了解到目前這個信息泄漏的問題已經得到了妥善的解決。

04

現代汽車發生數據泄露事件，歐洲多國車主受影響

4月14日，現代汽車近日披露發生數據泄漏事件，意大利和法國車主以及預訂試駕數據遭泄露?，F代汽車是一家跨國汽車制造商，每年在歐洲銷售超過五十萬輛汽車，在法國和意大利的市場份額約為3%。根據Twitter上的多份報道以及“HaveIBeenPwned”創始人Troy Hunt分享的通知樣本，該事件暴露了以下類型的個人數據：電子郵件地址、物理地址、電話號碼、車輛底盤編號。

現代汽車的通知澄清說：訪問現代汽車數據庫的黑客并沒有竊取財務數據或身份證號碼?，F代汽車表示，他們聘請了IT專家來處理數據泄露事件，已經將受影響的系統脫機，直到實施額外的安全措施?，F代汽車還警告其客戶對聲稱來自現代汽車的未經請求的電子郵件和短信保持謹慎，因為它們可能是網絡釣魚和社會工程攻擊。

05

公開征求《汽車整車信息安全技術要求》等四項強制性國家標準的意見

5月5日，按照《中華人民共和國標準化法》和《強制性國家標準管理辦法》，工業和信息化部裝備工業一司組織全國汽車標準化技術委員會開展了《汽車整車信息安全技術要求》等四項強制性國家標準的制修訂，已形成征求意見稿，現公開征求社會各界意見。征求意見截止日期為2023年7月5日，如有意見和建議，請以書面（個人需署名，單位需加蓋公章，并留聯系方式）或電子郵件形式進行反饋。

06

豐田泄露超200萬輛汽車敏感數據：實時位置暴露近10年

5月15日，豐田汽車因云環境中的設置錯誤，導致車輛數據存在泄露風險。豐田公司表示，因此事受影響的范圍僅限于日本境內車輛，涉及注冊豐田車載信息服務、遠程車載信息通信服務等服務的大約215萬用戶，包括豐田旗下品牌雷克薩斯的部分車主。豐田同時表示，目前數據并沒有被惡意使用的報告。

豐田公司的一位發言人表示：該云環境中的設置錯誤是由于系統性質被設置成“公共”而非“私人”的人為錯誤設置所導致，錯誤時間長達10年，從2013年11月至今年4月。之所以這么久沒發現，是因為豐田云服務缺乏“積極監測機制”，豐田今后將引入持續審核云服務設置的制度，并在數據處理規范方面嚴格培訓員工。

07

超100GB！特斯拉曝數據泄露丑聞，自動駕駛安全問題超乎想象

5月26日，荷蘭數據監管機構表示，特斯拉可能存在數據保護漏洞。據德國媒體報道，這些泄漏文件包含超過10萬名前任和現任員工姓名的表格，甚至包括特斯拉首席執行官馬斯克的社保號碼，以及私人電子郵件地址、電話號碼、員工工資、客戶銀行詳細信息和生產機密信息。如果這種違規行為被證實，特斯拉可能會被處以高達其年銷售額4%的罰款，即32.6億歐元。

德國工會IG Metall表示，這些爆料“令人不安”，并呼吁特斯拉向員工通報所有違反數據保護的行為，并倡導一種員工可以公開、無所畏懼地提出問題和不滿的文化。德國媒體援引特斯拉的一名律師的話說，一名“心懷不滿的前員工”濫用了他們作為服務技術人員的權限，并補充說，特斯拉將對涉嫌泄密的個人采取法律行動。外媒稱，泄露的文件含有數千起客戶對該汽車制造商駕駛員輔助系統的投訴，其中約4000起是關于突然加速或制動故障的投訴。

08

黑客可遠程控制，大眾汽車曝關鍵漏洞

6月29日，大眾汽車Discover Media信息娛樂系統的漏洞是在2023年2月28日發現的。該漏洞可能會使未打補丁的系統遭到拒絕服務（DoS）攻擊。該漏洞起初是由大眾汽車的用戶發現的，隨后大眾汽車方面確認了該漏洞，漏洞的標識為CVE-2023-34733。該漏洞是在大眾汽車媒體信息娛樂系統軟件版本0876中發現的。在收到用戶的這份報告后，德國汽車巨頭對該漏洞進行了確認。

該公司讓其事件響應小組分析了大眾汽車信息娛樂系統的漏洞，后來又讓研發部門分析了這個漏洞。隨后他們向上述電子郵件截圖中名為 "zj3t "的用戶確認了該漏洞，并表示該漏洞是一個產品質量的問題，會及時改進。

09

工信部、國家標準委聯合印發《國家車聯網產業標準體系建設指南（智能網聯汽車）（2023版）》

7月26日，為適應我國智能網聯汽車發展新階段的新需求，工業和信息化部、國家標準化管理委員會聯合修訂印發了《國家車聯網產業標準體系建設指南（智能網聯汽車）（2023版）》。

下一步，工業和信息化部將深入推進智能網聯汽車標準體系建設，繼續指導全國汽標委智能網聯汽車分標委（SAC/TC114/SC34）及有關單位，加大在功能安全、網絡安全、操作系統等重點領域的標準研制力度，積極參與國際標準法規協調制定，推進關鍵標準的宣貫實施，加快新能源汽車與信息通信、智能交通、智慧城市等融合發展，通過標準引導推動我國智能網聯汽車產業高質量發展。

10

《車聯網數據共享安全架構》等三項車聯網領域行業標準正式啟動

7月28日，中國電子技術標準化研究院組織召開了《車聯網數據共享安全架構》等3項行業標準啟動會。中國電子技術標準化研究院劉洋主持會議，來自21家單位的40名專家參與會議。

會議分別成立了《車聯網數據共享安全架構》《車載信息服務 面向汽車智能服務的數據集》《路側通信單元與路側基礎設施間的數據接口要求》等三項行業標準編制組，確定工作計劃，正式啟動了標準研制工作。三項標準具體情況如下表所示。

11

福特被曝安全漏洞，利用WIFI 可實施攻擊

8月14日，福特汽車供應商的安全人員向福特公司報告了一個安全漏洞，漏洞編號 CVE-2023-29468。該漏洞位于汽車信息娛樂系統集成的 WiFi 系統 WL18xx MCP 驅動程序中，允許 WiFi 范圍內的攻擊者使用特制的幀觸發緩沖區溢出。

福特汽車公司發布公告稱，尚未有任何證據表明該漏洞已經被黑客利用，原因在于利用WiFi軟件漏洞需要較為扎實的黑客技術，且攻擊者還需在物理上靠近已打開點火裝置和 Wi-Fi 設置的車輛。福特汽車公司進一步指出，哪怕該漏洞已經被利用，也不會影響車輛乘坐人員的人身安全，因為該漏洞只存在于娛樂系統集成中，轉向、油門和制動等控制裝置有專門的防火墻保護?！叭绻脩魮脑撀┒磶盹L險，可通過 SYNC 3 信息娛樂系統的設置菜單關閉 WiFi 功能?！?/p>

12

蔚來公布惡意攻擊信息系統案件進展！

去年12月，蔚來汽車因用戶數據遭不法人士泄露而受到社會廣泛關注，當時蔚來汽車創始人、董事長兼CEO李斌就曾因此事道歉，并表示堅決不與犯罪行為妥協。

9月5日，蔚來法務部在微博發文，更新部分惡意侵害蔚來和用戶合法權益案件的進展。這其中便提到了之前那起用戶信息泄露事件。蔚來方面表示，在公司的協助下，公安機關于近日成功偵破一起惡意攻擊蔚來信息系統的案件，目前已抓獲相關犯罪嫌疑人，該刑事案件正在進一步偵辦中。雖然未來并沒有介紹該案件的具體情況，但是有很大概率便是此前蔚來用戶信息泄露一事。

13

馬自達服務器遭入侵，超10萬條信息泄露

9月15日，馬自達發文稱，公司內部系統服務器遭到外部入侵，或超10萬個人信息被泄露。據了解，這些信息都源自公司員工及合作方人員的姓名及電話號碼，共計約104732條信息。官方表示：截至目前沒有發現個人信息遭到濫用的情況，被泄露的信息中不包含顧客信息?？赡苄孤┑膫€人信息包括本公司及集團公司員工、分包商員工、業務合作伙伴部分信息，涉及姓名、電子郵件地址、部門及職務、電話號碼等。

馬自達稱：此次的信息遭入侵一事，主要是因為貴公司安裝的應用服務器中的一個漏洞引起的。同時，提醒員工和合作方注意個人信息安全，加強密碼保護，并建議使用多重身份驗證等安全措施。針對此事馬自達方面也進行了道歉且表示已就此事報案，并向個人信息保護委員會進行了必要的報告，后續將采取一切可能的措施防止事件再次發生。

14

豐田公司確認遭遇美杜莎勒索軟件攻擊

11月16日，豐田金融服務公司(TFS)證實遭遇Medusa（美杜莎）勒索軟件組織的攻擊，該公司在歐洲和非洲的系統上檢測到未經授權的訪問。豐田金融服務公司是豐田汽車公司的子公司，作為一家全球性企業，其業務覆蓋豐田汽車90%的市場，為豐田客戶提供汽車融資服務。Medusa勒索軟件組織在其暗網數據泄漏站點的受害者名單中添加了豐田金融服務公司，要求后者支付800萬美元贖金來刪除泄漏數據（下圖）：

安全事件發生后，該公司發言人發表了如下聲明：豐田歐洲和非洲金融服務公司最近在其少數幾個地點的系統中發現了未經授權的活動，目前已經將某些系統下線。同時，內部安全人員已開始與執法部門合作。截至目前，此次安全事件僅限于豐田金融服務歐洲和非洲地區。關于受影響系統的狀態及其預計恢復正常運行的時間，豐田汽車方面的發言人表示，大多數國家的系統恢復已經開始進行了。

15

在華供應商被黑，Stellantis工廠生產受擾亂

11月16日，全球知名車企斯特蘭蒂斯集團（Stellantis）13日表示，由于一家汽車供應商受到網絡攻擊，集團運營被干擾，克萊斯勒、道奇、吉普和公羊等車型的生產受到影響。

這次網絡攻擊主要影響中國供應商Yanfeng International Automotive Technology Co. Ltd.（延鋒國際汽車技術有限公司）。13日晚間，該公司官網無法訪問。延鋒汽車的北美總部位于密歇根州諾維。公司生產多種即時零部件，包括座椅、內飾、電子設備和其他組件。

被問及這次網絡攻擊時，斯特蘭蒂斯發言人Anne Marie Fortunate發表聲明，“由于一家外部供應商出現問題，斯特蘭蒂斯集團位于北美的部分裝配廠生產受到干擾。我們正在監控情況并與供應商合作，減輕事件對我們運營的進一步影響?！彼芙^具體說明哪些生產或地點受到了影響。

16

工信部等四部門部署開展智能網聯汽車準入和上路通行試點工作

11月17日，工信部等四部門發布《關于開展智能網聯汽車準入和上路通行試點工作的通知》。在智能網聯汽車道路測試與示范應用工作基礎上，工業和信息化部、公安部、住房和城鄉建設部、交通運輸部遴選具備量產條件的搭載自動駕駛功能的智能網聯汽車產品，開展準入試點；對取得準入的智能網聯汽車產品，在限定區域內開展上路通行試點，車輛用于運輸經營的需滿足交通運輸主管部門運營資質和運營管理要求。

17

美國汽車零部件巨頭 AutoZone 遭遇網絡攻擊

11月21日，美國汽車配件零售商巨頭 AutoZone 稱其成為了 Clop MOVEit 文件傳輸網絡攻擊的受害者，導致大量數據泄露。

經調查研究，AutoZone 發現一個未經授權的第三方利用了與 MOVEit 相關的漏洞，并從支持 MOVEit 應用程序的 AutoZone 系統中“過濾”了某些數據。目前，相關機構已經對受影響的系統和相關數據進行了分析，以確定用戶的信息是否受到了潛在影響。

18

歐盟《網絡彈性法案》明確：如果制造商知曉設備存在重大漏洞，一律不得投放市場

12月5日消息，歐盟政策制定者于11月30日達成了關于《網絡彈性法案》的政治協議，彌合了在最后幾個懸而未決問題上的分歧?！毒W絡彈性法案》是一項立法提案，為從智能玩具到工業機械等各類聯網設備引入安全要求。歐盟委員會、歐洲議會和歐盟理事會通過“三方對話”會議最終敲定這一法案。下一步需要歐洲議會和歐盟理事會正式通過，才能成為法律。

該協議此前在技術層面上已經基本敲定，提案的許多方面在政治會議期間得到認可。歐盟談判代表經過激烈討論之后解決了最后的政治障礙。牽頭此事的歐洲議會議員Nicola Danti表示，“《網絡彈性法案》將加強聯網產品的網絡安全，解決硬件和軟件中的漏洞問題，讓歐洲大陸更安全、更有彈性。歐洲議會已經立法保護供應鏈，并將保護路由器、殺毒軟件等關鍵產品列為網絡安全優先事項?！?/p>

19

日產Nissan汽車在澳大利亞和新西蘭遭遇網絡攻擊

12月7日,日產(Nissan,即尼桑)正在調查針對其在新西蘭和澳大利亞的系統的網絡攻擊。在澳大利亞官網發布公告，確認公司遭受了一次“網絡攻擊”，并警告客戶他們的個人信息可能已被訪問。據了解，這次網絡攻擊影響了日產在澳大利亞和新西蘭的系統，而且日產經銷商的系統可能也受到了此次事件的影響。

公司網站上的聲明表示，他們已經通知了新西蘭和塔斯曼對岸的網絡安全當局，他們的全球事件響應團隊正在努力確定造成的影響。由于此事件，客戶的個人數據可能已被訪問，盡管此次事件的影響范圍仍在調查中，但日產鼓勵其客戶對他們的賬戶保持警惕，包括注意任何不尋?；蚱墼p活動。

20

因不符合WP.29中網絡安全要求，保時捷Macan宣布退出歐盟

12月15日，保時捷現款Macan車型將于明年春天在歐盟國家停止銷售。不過需要指出的是，迫使新車停售的"罪魁禍首"并不是因為排放不達標，而是因為該車無法滿足歐盟針對車輛網絡安全所推出的新規。所以除了歐盟國家外，其他國家的銷售并不會受到影響。

一位公司發言人表示，在保時捷開發這一車型時，WP.29法規尚未最終敲定。據發言人稱，為了滿足新的要求，更新車輛將成本過高。汽車制造商將面臨每銷售一輛不符合WP.29法規的車輛高達3萬歐元（近3.3萬美元）的罰款。目前尚不清楚與Macan一同開發且同樣使用MLB平臺的奧迪Q5是否受到UNECE的網絡安全法規的影響。尚不清楚在新規定生效前是否會有其他車型停售。

審核編輯：黃飛