对频频的骚扰电话显得无可奈何,不知道自己的手机号码等信息已被卖给了多少人——有类似经历或许不止周画(化名)一个人。近日,有媒体发表文章称,有黑客在网络上兜售车主信息,只有姓名、手机、城市和意向车款的询价信息要价一块钱一条。该媒体称,雪铁龙车主信息泄露规模或超10万条。此前,曾有白帽子(不恶意利用安全漏洞的黑客)向互联网安全漏洞报告平台——乌云网提交名为“东风雪铁龙某后台弱口令可导致全国几百个经销商账号与大量个人数据泄露”的漏洞。该平台上显示的漏洞状态是,漏洞已通知厂商但厂商忽略该漏洞。
《第一财经日报》记者就用户信息泄露一事向东风雪铁龙求证时,该公司内部相关人士回应称,东风雪铁龙的客户数据存放在专业数据库中,并设多道防火墙,对数据库设有监控及记录,对用户信息做足了保密工作。有业内人士分析指出,雪铁龙车主信息遭泄露不排除是东风雪铁龙经销商的网站或合作的汽车垂直网站遭黑客攻击窃取用户信息。此外,个别4S店或汽车垂直网站的内部员工也可能存在卖数据的情况。
车企在信息安全方面的投入不足已经越来越成为其软肋。2011年至今,“白帽子”在互联网安全漏洞报告平台乌云网上共提交有关于车企网站的漏洞达58个,其中近一半的漏洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全。包括宝马[微博]、奥迪、大众、奔驰、凯迪拉克在内的多家汽车厂家网站都被发现涉及用户信息泄露的漏洞,而绝大多数漏洞状态都是未联系到厂商或者厂商忽略。
网络安全投入不足
目前,汽车这个行业缺乏成熟的网络安全管理体系,网络运营人员的安全素质有待提高,很多车企网站是外包给第三方公司开发的,没有交付信息安全公司进行评估,因此更有可能留下信息安全风险。
“在大数据时代,用户隐私遭泄露的问题日益突出。如同许多传统制造行业中的企业一样,车企亟待转化互联网思维以及加强互联网安全管控等。不过,要跟上互联网发展的步伐不太容易。例如,从人才方面看,随着互联网快速发展,系统安全工程师、系统架构工程师以及数据分析工程师等人才紧缺,这类专业人才往往集中在互联网企业,薪酬也较高,而车企相对缺乏这类人才。”从事互联网行业的业内人士阮喜海接受《第一财经日报》记者采访时谈道。
另一位从事网络安全方面的专业人士接受《第一财经日报》记者采访时也谈到,网络安全管理体系方面投资非常大,涉及人才、软件、硬件、服务以及管理等方面,互联网企业也是一步步投入不断完善。目前,不同行业在网络安全方面投入比例不一,预计汽车行业在网络安全方面投入往往较少,一些车企为了节约成本,往往将数据库、服务器都放在公网上,这样很容易被黑客攻破。
“一旦发现系统有漏洞,将及时采取主动或被动措施,在认证授权系统中对服务器设置权限管理,以及与经销商、汽车垂直网站等签署保密协议等,这些措施在一定程度上将可防止用户数据泄露。不过,许多车企都未能建立起一套行之有效的网络安全管理体系,除了投入大这一因素之外,往往对网络安全意识也不强,毕竟与互联网融合时间不长。”上述网络安全人士称。
车联网安全备考
黑客防不胜防,令车企烦恼的不仅是车主信息被泄露这一困扰。随着越来越多车企踊跃加入车联网浪潮中,信息安全隐患也随之而来。早在2013年,美国国家公路交通安全管理局已经认识到汽车内需要安置不兼容系统,并设立了专门机构,负责车辆网络安全问题。现在汽车与网络的联系越来越紧密,以后将能够与周围环境交流。如果车辆被黑客软件侵袭,车辆可能会发生严重的交通事故。
美国马萨诸塞州参议员EdMarkey办公室今年发布一份报告,指出很多汽车制造商没有准备好解决汽车潜在的信息安全问题。Markey的办公室发函询问19家包括宝马、通用、本田等主要的汽车制造商,比如现在的汽车一般采用了哪些新技术、收集到个人驾驶信息如何管理以及采取哪些措施防止黑客攻击等,其中16家回复发函。遗憾的是,这些在车上部署无线技术的公司对问题中的概念甚至表示无法理解。该报告指出,在接受调查的这些公司中,有两家表示能够诊断或者反馈黑客入侵后的情况,有一家公司表示能够及时检测黑客入侵,剩下的公司表示这些用来保证安全的无线技术“不会被黑客用来入侵”。其实,像车上的信息娱乐系统和导航系统,很可能通过联网技术,被恶意软件或者黑客攻击。
乌云网合伙人邬迪接受《第一财经日报》记者采访时称,尽管网络安全目前投入成本大,又未直接产生经济效益,但到将来互联网时代,安全可能是个卖点,部分传统的车企或许还没有注意到这点。“乌云上有不少因联网漏洞可导致车辆被控制,这将会导致行车安全问题。”邬迪说。