【谈思月度盘点】1月汽车网络安全产业事件榜Top10
作为国内最早专注于汽车网络安全领域的产业社区,从2017年起,连续7年深耕智能汽车网络安全、数据安全、信息安全等汽车创新技术,为汽车行业提供最优质的学习交流机会,通过线上线下交流活动服务超过数万名汽车网络信息安全行业同仁,并依托强大的产业及专家资源,致力于打造汽车安全产业一流高效的商务平台。谈思实验室是中国汽车网络安全产业发展的看察者、见证者,更是笔录者,我们将和同仁们一起为汽车网络安全落地献智献策,探讨智能汽车行业的新方向,共同拓展汽车网络安全产业新机遇!
从2023年1月开始,每月我们都将为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等,助力大家把控行业动态,要害信息一网打尽!
1、继蔚来汽车数据泄露后,沃尔沃再遭数据窃取
1月5日,法国网络安全机构 Anis Haboubi 注重到,一名进攻者在一个时髦的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。
2022 年 12 月 31 日,论坛上一位昵称为 IntelBroker 的成员公布,VOLVO CARS 成为勒索软件进攻的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,进攻者窃取了 200GB 的敏锐数据,这些数据现在正在出售。在出售的数据包括:数据库访问、CICD 访问、Atlassian 访问、域访问、WiFi 点和登录、身份验证承载、API、PAC 安全访问、员工列表、软件许可证以及密钥和系统文件。
目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露进攻者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。
2、全球顶级汽车品牌全面沦陷,API使用安全再次敲响警钟!
面向API使用的网络进攻已经开始对各大企业组织造成严重的破坏。因此,每家组织都需要提升对API使用安全的重视度。近日,网络安全研究员Sam Curry和他领导的研究团队,在数十家全球顶级汽车制造商生产的车辆和车联网服务中,发现了许多API使用缺陷,利用这些缺陷,进攻者可以进行广泛的恶意活动,从非法窃取车主个人隐私信息,到远程解锁车辆、监控车辆等。
Sam Curry表达,通过深进的研究分析和实际测试,他的团队发现API使用安全问题几乎影响了目前所有主流的汽车品牌,包括奔驰、宝马、劳斯莱斯、法拉利、保时捷、捷豹、路虎、本田、英菲尼迪、日产、颂扬、丰田、福特等20多个知名品牌。此外,研究团队还发现,在Reviver、SiriusXM和Spireon等主流车联网服务商的使用方案中,同样存在大量严重的API安全缺陷。
据了解,通过利用所发现的API安全缺陷,研究人员成功进进了配置不当的SSO系统,成功访问了奔驰、宝马等车企的多个内部业务系统,以及其中大量的员工和客户信息数据。例如对奔驰公司的测试中,研究人员成功访问了多个私有GitHub实例、Mattermost上的内部谈天频道、服务器、Jenkins和AWS实例,并连接到客户车辆的XENTRY系统等;而在对宝马公司的测试中,研究人员通过访问内部经销商网站,超权限查询了客户汽车的VIN,并检索出了包含敏锐车主详尽信息的销售文档。一旦这些安全问题被真实的进攻者发现,后果将不堪想象。
3、本月起,正式施行!上海市公共数据开放实时细则介绍
4、车主夜间驾车惊现诡异事件,理想官方回应
1月15日,上海浦东一位理想汽车车主表达,自己夜间驾驶购买仅一个月的理想汽车出行时,无意间发现自己车辆中控屏突然展示车辆后方有人追车,而自己反复检查后发现车后并没有人,过了一段时间,中控屏上的小人则自行消失了。
该视频在网上曝光后,不少网友表达:“好家伙,这要是女司机,岂不是吓哭”、“车主心真大,还敢回头确认”、看起来十分诡异”、“又是灵异事情?”。针对该事件,理想客服人员告知车主可能是下雨影响雷达推断,需将相关部位擦干净;理想汽车售后服务人员则表达,L2级别的辅助驾驶以人的推断为主,在雨雪天气、夜间和大雾等情状下,有识别错误的可能。
理想汽车官方发布微博回应:“理想车主夜间驾车中控展示有人追车既不是灵异事件,也不是误进了高维空间翘曲碎片,而是理想L8 Pro(AD Pro平台4.2版本)视觉感知算法的BUG,有一定概率在雨天夜间的环境,后视相机被水滴所骚乱”。
5、滴滴出行通过网络安全审查:即日起恢复新用户注册
1月16日,@滴滴出行 发布微博称,即日起恢复“滴滴出行”的新用户注册。以下为全文:
一年多来,我公司认真配合国家网络安全审查,严厉对待审查中发现的安全问题,进行了全面整改。经报网络安全审查办公室赞同,即日起恢复“滴滴出行”的新用户注册。后续,公司将摘取有效措施,切实保障平台设施安全和大数据安全,保护国家网络安全。
6、正式启动:AutoSec 行业7周年年会暨中国汽车网络安全与数据安全合规峰会
2023年5月10-11日,谈思实验室Taas Labs将在上海举办AutoSec 7周年年会暨中国汽车网络安全及数据安全合规峰会。本次峰会聚焦汽车网络安全、数据安全、信息安全、国内外法律法规、数据跨境合规、汽车信息安全实验室运营、汽车测绘地理信息安全等,旨在汇聚汽车行业最新研究与实践成果,展示网络安全、数据安全方面的优异解决方案,与大家一起共谋未来行业发展,共克行业发展难题。
过往7年里,谈思实验室AutoSec和业内同仁们共同见证了中国汽车网络数据安全行业翻天覆地的转变,从0到1、逐步发展,并不断向成熟迈进。此次7周年庆典正是行业专家、过往老朋友们的欢聚时刻,将是群贤毕至的产业盛况,共话汽车安全生态!AutoSec 7周年年会,既是总结既往,也是规划全年。
7、第一届CAVD杯汽车信息安全挑战赛圆满闭幕
2023年1月17日,由中汽智联技术有限公司主办的“第一届CAVD杯汽车信息安全挑战赛”国圆满闭幕。本次比赛为期15天,累计200余人报名参与,选手围绕4台整车,10余个智能网国联零部件开展漏洞挖掘。
中汽信息安全研究中心在赛前筹备、比赛启动、现场实施、漏洞审核等环节精心部署,力求为选手提供齐备的赛事机制与技术环境使选手全身心投进到赛事活动中,为圆满完成此次汽车信息安全挑战赛提供了保障。
8、突发!俄罗斯科技巨头Yandex内部源代码全部泄露
1月28日消息,俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取,相关数据已在某个时髦黑客论坛上以BT种子形式泄露。
外媒BleepingComputer与Yandex公司前高级系统治理员、开发副主管兼技术传播总监Grigory Bakunov讨论了此次泄露事件。Bakunov对泄露的代码内容非常熟悉,曾在2002年至2019年期间在这家俄罗斯科技巨头工作。Bakunov阐明称,此次数据泄露的动机与政治有关,窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手。这位前高管弥补道,泄露内容不包含任何客户数据,因此不会对Yandex用户的隐私或安全构成直接风险,也不会导致专有技术外流。
9、长城汽车原总经理王凤英正式加进小鹏汽车任总裁
1月30日,小鹏汽车公布,知名汽车人士王凤英女士正式加进小鹏汽车,出任总裁一职。她将全面负责公司的产品规划、产品矩阵以及销售体系,并向小鹏汽车董事长、CEO何小鹏汇报。在加进小鹏汽车之前,王凤英女士曾于长城汽车工作超过三十年,从一线销售做起,至副董事长、总经理,是中国汽车行业闻名的“铁娘子”。王凤英女士毕业于天津财经学院,并获经济学硕士学位。
小鹏汽车董事长、CEO何小鹏表达:我们热烈欢迎王凤英女士的加进。在过往的三十年里,王凤英凭借深厚的行业体会和实践,缔造了一个又一个得到市场足够认可的现象级产品。我们期待她的加进能够给“智能化+汽车”的合成带来更多不一样的火花。今后的五年是全自动驾驶汽车的五年,更远的十年是无人驾驶汽车的十年,小鹏汽车将陆续果敢地践行智能化战术。我们也信赖王凤英这样优异人才的引进,将为小鹏汽车从一到二的行稳致远提供更有力的治理支持。
10、微软安全往年营收超1300亿元,但霸主地位背后争议难解
1月31日消息,微软安全业务在2022年销售额创下历史新高,年收进超过200亿美元(约合人民币1351亿元)。但亮眼成果之下,也引发了业界对微软这种“科技巨头+安全给予商”双重身份的猛烈争论。
微软在财报电话会议上透露,其安全业务收进同比增长33%,相较前年更是提升50%。考虑到当前整体低迷的经济形势,微软安全业务的营收增速已超过集团旗下其他所有主要产品。
微软CEO萨提亚·纳德拉(Satya Nadella)在财报电话会议上表达,“微软是唯一一家涵盖身份、安全、合规、设备治理及隐私的端到端集成工具给予商,天天收取和练习超65万亿个信号。我们在提供的所有主要产品类别中都占有一席之地。”纳德拉强调,过往一年来,在微软平台上使用四种或更多工作负载的客户数量增加了40%以上。市值44亿美元的英国体育用品零售商Fraser’s Group就决定将以往的十家安全给予商整合为微软一家。
为搜集汽车网络安全产业信息,假如大家有推举或自荐的新闻,可以添加微信 taaslabs01 来联系小编哦~~