（文/張家棟 編輯/張廣凱）

近日，全球知名汽車制造商寶馬公司發(fā)生一起嚴(yán)重的數(shù)據(jù)泄露事件。

據(jù)研究人員Can Yoleri報告，他在例行掃描中意外發(fā)現(xiàn)，寶馬在微軟Azure平臺上的云存儲服務(wù)器配置錯誤，被設(shè)置為公共訪問狀態(tài)，而非計劃中的私有狀態(tài)。這一配置錯誤導(dǎo)致寶馬的私鑰、內(nèi)部數(shù)據(jù)以及其他敏感信息暴露于公眾視野。

Yoleri在詳細(xì)報告中指出，這個被錯誤配置的服務(wù)器中包含了大量的敏感信息，其中包括Azure的訪問信息、訪問私有存儲服務(wù)器地址的密鑰，以及其他與寶馬云服務(wù)相關(guān)的詳細(xì)信息。

TechCrunch報道稱，此次暴露的數(shù)據(jù)中包括了寶馬在中國、歐洲和美國的云服務(wù)私鑰，以及生產(chǎn)和開發(fā)數(shù)據(jù)庫的登錄憑證。

盡管寶馬的發(fā)言人表示，此次事件并未影響客戶或個人數(shù)據(jù)，但此事件無疑對寶馬的信息安全公信力提出了嚴(yán)峻的考驗。

該發(fā)言人還補充道：“寶馬集團(tuán)已于2024年初修復(fù)了這一問題，我們將繼續(xù)與合作伙伴一起監(jiān)控情況?！?

不過，Yoleri 指出，寶馬尚未撤銷或更改在被暴露的云存儲服務(wù)器中發(fā)現(xiàn)的密碼和憑證。

近年來，隨著“軟件定義汽車”概念持續(xù)深入人心，智能網(wǎng)聯(lián)汽車市場地位不斷提升。隨著智能化技術(shù)快速發(fā)展，軟件、芯片以及大數(shù)據(jù)成為智能網(wǎng)聯(lián)汽車的重要組成部分。

然而，在上述配置為消費者帶來更加便捷出行體驗的同時，其中蘊含的危險因素也不容忽視。

2020年，特斯拉曾因系統(tǒng)宕機(jī)導(dǎo)致數(shù)以萬計的車主無法通過App連接汽車；2021年年初，一則國外黑客，通過特斯拉車內(nèi)攝像頭，獲取其拍攝的車內(nèi)畫面曾在社交媒體平臺上廣泛傳播并引起關(guān)注。

對于該事件，特斯拉官方發(fā)表聲明稱：“駕駛室攝像頭目前在北美以外的市場并沒有激活。即使是在美國，車主也可以自由選擇是否開啟使用。”

但即便馬斯克在2021年中國發(fā)展高層論壇上特意強調(diào)：“特斯拉是不會將收集到的數(shù)據(jù)用于間諜活動的，因為這樣會讓發(fā)展受到嚴(yán)重的影響，我們愿意采取最高等級的保密措施，希望和大家共創(chuàng)互信的未來?！鄙踔吝€在中國建立數(shù)據(jù)中心，但其品牌形象所遭受的損失，卻難以挽回。

2022年，蔚來也曾被曝出有不法分子在網(wǎng)上出售蔚來相關(guān)數(shù)據(jù)，并以泄露數(shù)據(jù)為由，向蔚來勒索價值225萬美元等額的比特幣。事后，蔚來董事長李斌同樣在社群中向車主與外界做出道歉，并作出回應(yīng)稱：“堅決不和犯罪分子妥協(xié)，不做賠付的先河。哪怕公司賠破產(chǎn)了，也不會妥協(xié)。”

盡管從結(jié)果來看，無論是特斯拉被黑客的襲擊，還是蔚來遭受的不法分子侵?jǐn)_，近年來的數(shù)起大規(guī)模車輛數(shù)據(jù)泄露事件都未造成太過嚴(yán)重的后果，但事實上，這些數(shù)據(jù)不止能被拿來敲詐勒索，此類信息也易于被不法分子竊取并販賣，并帶來身與財?shù)摹熬珳?zhǔn)打擊”。

此前，有業(yè)內(nèi)專家分析指出：“一輛智能網(wǎng)聯(lián)汽車每天至少收集10TB的數(shù)據(jù)，不僅數(shù)量極大，而且涉及駕乘人員的出行軌跡、習(xí)慣、語音、視頻等關(guān)鍵信息，一旦遭受侵害會泄露個人隱私?！?

進(jìn)入2024年，可以預(yù)見的是，伴隨著車聯(lián)網(wǎng)應(yīng)用與智能駕駛等技術(shù)的進(jìn)一步上車拓展，汽車攝像頭、激光雷達(dá)等各類傳感器更多，采集到的信息很有可能涉及敏感地點，即內(nèi)容非法；一些激光雷達(dá)精度很高，也可能造成精度非法。

去年，便有多起車內(nèi)攝像頭拍攝的視頻片段流露至社交媒體，引起廣泛關(guān)注的案例。

而年底某汽車媒體在冬測后，多家汽車廠商調(diào)取后臺車輛數(shù)據(jù)的做法，也令消費者對行車數(shù)據(jù)的安全與保密性產(chǎn)生了一定的擔(dān)憂。

據(jù)去年滿意度調(diào)查機(jī)構(gòu)J.D.Power的調(diào)研數(shù)據(jù)顯示，有90%的用戶更傾向于數(shù)據(jù)安全防護(hù)高的汽車品牌。

業(yè)內(nèi)人士指出，數(shù)據(jù)跨境傳輸一直缺乏有效的監(jiān)管機(jī)制，但涉密數(shù)據(jù)跨境傳輸對國家安全影響極大，且一旦數(shù)據(jù)傳出，后期整治、修補的難度更大。

工信部此前發(fā)文表示，伴隨汽車網(wǎng)聯(lián)化發(fā)展，網(wǎng)絡(luò)攻擊威脅加速向車端、車聯(lián)網(wǎng)平臺蔓延，車聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件不僅影響公民隱私、財產(chǎn)和生命安全，甚至可能危害社會安全和國家安全。

也正是因此，從2021年至今，全球多數(shù)國家和地區(qū)均在不斷完善針對汽車產(chǎn)品的隱私和數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)。

以中國為例，目前，國家互聯(lián)網(wǎng)信息辦公室已經(jīng)在室務(wù)會議審議通過《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》條例，即從政策層面對汽車數(shù)據(jù)從收集、分析、存儲到傳輸、查詢、應(yīng)用和刪除等全流程作出了較為詳細(xì)的規(guī)定。

同時，在信息安全的運營端方面，車企則需要承擔(dān)起相應(yīng)的信息數(shù)據(jù)安全采集與防護(hù)責(zé)任。

在中國車企中，長城汽車針對信息安全，從云端進(jìn)行了全方位安全設(shè)計，并與國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心、奇虎360、百度安全實驗室、中國汽車技術(shù)研究中心等機(jī)構(gòu)合作，先后成立安全共建實驗室、開展信息安全方面的技術(shù)研究等，以提高整車信息安全防護(hù)水平。

比亞迪則積極開展各項數(shù)據(jù)安全與合規(guī)的認(rèn)證工作。目前，比亞迪已獲得R155（CSMS）、R156（SUMS）體系認(rèn)證等安全認(rèn)證，并通過了國家信息安全等級保護(hù)三級認(rèn)證。

理想汽車則采取全流程數(shù)據(jù)加密監(jiān)控，從設(shè)計、研發(fā)到生產(chǎn)，每個階段的安全都全程介入，同時實現(xiàn)分域隔離、縱深防御，對供應(yīng)商進(jìn)行安全管控，掌握安全的主動權(quán)。

但誠如本次寶馬數(shù)據(jù)泄露事件的發(fā)生，即便在較為完善的政策監(jiān)管以及技術(shù)保護(hù)下，大型企業(yè)似乎也難以完全避免信息技術(shù)管理上的疏漏。

信息安全專家指出，云存儲服務(wù)器的配置錯誤可能導(dǎo)致多種安全風(fēng)險。私鑰的泄露可能會使通信和數(shù)據(jù)傳輸面臨中間人攻擊的風(fēng)險，而生產(chǎn)和開發(fā)數(shù)據(jù)庫的登錄憑證泄露則可能導(dǎo)致未經(jīng)授權(quán)的訪問，甚至可能引發(fā)更大規(guī)模的數(shù)據(jù)泄露。

而對于全球汽車企業(yè)而言，寶馬的信息泄露只是在智能化技術(shù)快速發(fā)展之路上的又一次警示，信息安全的技術(shù)與管理的比拼，同樣是激烈廝殺的智能化技術(shù)內(nèi)卷這張明牌下的潛在競爭。