物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

網(wǎng)絡(luò)安全漏洞擋道 車聯(lián)網(wǎng)陰霾籠罩

作者:李溯婉
來(lái)源:第一財(cái)經(jīng)日?qǐng)?bào)
日期:2015-07-08 11:08:33
摘要:令車企煩惱的不僅是車主信息被泄露這一困擾,隨著越來(lái)越多車企踴躍加入車聯(lián)網(wǎng)浪潮中,信息安全隱患也隨之而來(lái)。

  對(duì)頻頻的騷擾電話顯得無(wú)可奈何,不知道自己的手機(jī)號(hào)碼等信息已被賣給了多少人——有類似經(jīng)歷或許不止周畫(化名)一個(gè)人。近日,有媒體發(fā)表文章稱,有黑客在網(wǎng)絡(luò)上兜售車主信息,只有姓名、手機(jī)、城市和意向車款的詢價(jià)信息要價(jià)一塊錢一條。該媒體稱,雪鐵龍車主信息泄露規(guī)?;虺?0萬(wàn)條。此前,曾有白帽子(不惡意利用安全漏洞的黑客)向互聯(lián)網(wǎng)安全漏洞報(bào)告平臺(tái)——烏云網(wǎng)提交名為“東風(fēng)雪鐵龍某后臺(tái)弱口令可導(dǎo)致全國(guó)幾百個(gè)經(jīng)銷商賬號(hào)與大量個(gè)人數(shù)據(jù)泄露”的漏洞。該平臺(tái)上顯示的漏洞狀態(tài)是,漏洞已通知廠商但廠商忽略該漏洞。

  《第一財(cái)經(jīng)日?qǐng)?bào)》記者就用戶信息泄露一事向東風(fēng)雪鐵龍求證時(shí),該公司內(nèi)部相關(guān)人士回應(yīng)稱,東風(fēng)雪鐵龍的客戶數(shù)據(jù)存放在專業(yè)數(shù)據(jù)庫(kù)中,并設(shè)多道防火墻,對(duì)數(shù)據(jù)庫(kù)設(shè)有監(jiān)控及記錄,對(duì)用戶信息做足了保密工作。有業(yè)內(nèi)人士分析指出,雪鐵龍車主信息遭泄露不排除是東風(fēng)雪鐵龍經(jīng)銷商的網(wǎng)站或合作的汽車垂直網(wǎng)站遭黑客攻擊竊取用戶信息。此外,個(gè)別4S店或汽車垂直網(wǎng)站的內(nèi)部員工也可能存在賣數(shù)據(jù)的情況。

  車企在信息安全方面的投入不足已經(jīng)越來(lái)越成為其軟肋。2011年至今,“白帽子”在互聯(lián)網(wǎng)安全漏洞報(bào)告平臺(tái)烏云網(wǎng)上共提交有關(guān)于車企網(wǎng)站的漏洞達(dá)58個(gè),其中近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露,背后涉及到百萬(wàn)車主的信息安全。包括寶馬[微博]、奧迪、大眾、奔馳、凱迪拉克在內(nèi)的多家汽車廠家網(wǎng)站都被發(fā)現(xiàn)涉及用戶信息泄露的漏洞,而絕大多數(shù)漏洞狀態(tài)都是未聯(lián)系到廠商或者廠商忽略。

  網(wǎng)絡(luò)安全投入不足

  目前,汽車這個(gè)行業(yè)缺乏成熟的網(wǎng)絡(luò)安全管理體系,網(wǎng)絡(luò)運(yùn)營(yíng)人員的安全素質(zhì)有待提高,很多車企網(wǎng)站是外包給第三方公司開(kāi)發(fā)的,沒(méi)有交付信息安全公司進(jìn)行評(píng)估,因此更有可能留下信息安全風(fēng)險(xiǎn)。

  “在大數(shù)據(jù)時(shí)代,用戶隱私遭泄露的問(wèn)題日益突出。如同許多傳統(tǒng)制造行業(yè)中的企業(yè)一樣,車企亟待轉(zhuǎn)化互聯(lián)網(wǎng)思維以及加強(qiáng)互聯(lián)網(wǎng)安全管控等。不過(guò),要跟上互聯(lián)網(wǎng)發(fā)展的步伐不太容易。例如,從人才方面看,隨著互聯(lián)網(wǎng)快速發(fā)展,系統(tǒng)安全工程師、系統(tǒng)架構(gòu)工程師以及數(shù)據(jù)分析工程師等人才緊缺,這類專業(yè)人才往往集中在互聯(lián)網(wǎng)企業(yè),薪酬也較高,而車企相對(duì)缺乏這類人才。”從事互聯(lián)網(wǎng)行業(yè)的業(yè)內(nèi)人士阮喜海接受《第一財(cái)經(jīng)日?qǐng)?bào)》記者采訪時(shí)談道。

  另一位從事網(wǎng)絡(luò)安全方面的專業(yè)人士接受《第一財(cái)經(jīng)日?qǐng)?bào)》記者采訪時(shí)也談到,網(wǎng)絡(luò)安全管理體系方面投資非常大,涉及人才、軟件、硬件、服務(wù)以及管理等方面,互聯(lián)網(wǎng)企業(yè)也是一步步投入不斷完善。目前,不同行業(yè)在網(wǎng)絡(luò)安全方面投入比例不一,預(yù)計(jì)汽車行業(yè)在網(wǎng)絡(luò)安全方面投入往往較少,一些車企為了節(jié)約成本,往往將數(shù)據(jù)庫(kù)、服務(wù)器都放在公網(wǎng)上,這樣很容易被黑客攻破。

  “一旦發(fā)現(xiàn)系統(tǒng)有漏洞,將及時(shí)采取主動(dòng)或被動(dòng)措施,在認(rèn)證授權(quán)系統(tǒng)中對(duì)服務(wù)器設(shè)置權(quán)限管理,以及與經(jīng)銷商、汽車垂直網(wǎng)站等簽署保密協(xié)議等,這些措施在一定程度上將可防止用戶數(shù)據(jù)泄露。不過(guò),許多車企都未能建立起一套行之有效的網(wǎng)絡(luò)安全管理體系,除了投入大這一因素之外,往往對(duì)網(wǎng)絡(luò)安全意識(shí)也不強(qiáng),畢竟與互聯(lián)網(wǎng)融合時(shí)間不長(zhǎng)?!鄙鲜鼍W(wǎng)絡(luò)安全人士稱。

  車聯(lián)網(wǎng)安全備考

  黑客防不勝防,令車企煩惱的不僅是車主信息被泄露這一困擾。隨著越來(lái)越多車企踴躍加入車聯(lián)網(wǎng)浪潮中,信息安全隱患也隨之而來(lái)。早在2013年,美國(guó)國(guó)家公路交通安全管理局已經(jīng)認(rèn)識(shí)到汽車內(nèi)需要安置不兼容系統(tǒng),并設(shè)立了專門機(jī)構(gòu),負(fù)責(zé)車輛網(wǎng)絡(luò)安全問(wèn)題?,F(xiàn)在汽車與網(wǎng)絡(luò)的聯(lián)系越來(lái)越緊密,以后將能夠與周圍環(huán)境交流。如果車輛被黑客軟件侵襲,車輛可能會(huì)發(fā)生嚴(yán)重的交通事故。

  美國(guó)馬薩諸塞州參議員EdMarkey辦公室今年發(fā)布一份報(bào)告,指出很多汽車制造商沒(méi)有準(zhǔn)備好解決汽車潛在的信息安全問(wèn)題。Markey的辦公室發(fā)函詢問(wèn)19家包括寶馬、通用、本田等主要的汽車制造商,比如現(xiàn)在的汽車一般采用了哪些新技術(shù)、收集到個(gè)人駕駛信息如何管理以及采取哪些措施防止黑客攻擊等,其中16家回復(fù)發(fā)函。遺憾的是,這些在車上部署無(wú)線技術(shù)的公司對(duì)問(wèn)題中的概念甚至表示無(wú)法理解。該報(bào)告指出,在接受調(diào)查的這些公司中,有兩家表示能夠診斷或者反饋黑客入侵后的情況,有一家公司表示能夠及時(shí)檢測(cè)黑客入侵,剩下的公司表示這些用來(lái)保證安全的無(wú)線技術(shù)“不會(huì)被黑客用來(lái)入侵”。其實(shí),像車上的信息娛樂(lè)系統(tǒng)和導(dǎo)航系統(tǒng),很可能通過(guò)聯(lián)網(wǎng)技術(shù),被惡意軟件或者黑客攻擊。

  烏云網(wǎng)合伙人鄔迪接受《第一財(cái)經(jīng)日?qǐng)?bào)》記者采訪時(shí)稱,盡管網(wǎng)絡(luò)安全目前投入成本大,又未直接產(chǎn)生經(jīng)濟(jì)效益,但到將來(lái)互聯(lián)網(wǎng)時(shí)代,安全可能是個(gè)賣點(diǎn),部分傳統(tǒng)的車企或許還沒(méi)有注意到這點(diǎn)。“烏云上有不少因聯(lián)網(wǎng)漏洞可導(dǎo)致車輛被控制,這將會(huì)導(dǎo)致行車安全問(wèn)題?!编w迪說(shuō)。

人物訪談