近日，媒體曝光大眾汽車集團的軟件子公司Cariad因配置錯誤導致80萬輛電動汽車數據暴露。這些數據包括車輛位置、駕駛員信息等敏感內容，甚至包括部分德國政要和警方巡邏車的數據，引發廣泛關注。

車輛數據裸奔，定位精度可達10厘米

根據Bleepingcomputer報道，Cariad有兩個IT應用配置錯誤導致數據存儲在亞馬遜云平臺上“裸奔”，任何具備基礎技術知識的人都可能訪問這些敏感信息。

此次事件影響的車輛包括大眾、奧迪、西雅特和斯柯達等品牌車型，在近80萬輛被暴露的汽車中，研究人員發現約46萬輛車的地理位置數據可被追蹤。其中大眾汽車和西亞特汽車的地理數據精確度可達10厘米以內，而奧迪和斯柯達汽車的地理數據精確度要差都多，只能定位到10公里以內，因此后兩者的問題相對不是很嚴重。

德國《明鏡周刊》指出，這些數據泄露由一位內部舉報者向歐洲最大的道德黑客組織Chaos Computer Club（CCC）提供線索。CCC在測試確認漏洞后，于2023年11月26日向Cariad和大眾汽車通報了問題，并提供了詳細的技術信息。

影響廣泛：政府官員位置被曝光

本次數據泄露事件中，大部分受影響車輛集中在德國（30萬輛），其他受波及國家包括挪威（8萬）、瑞典（6.8萬）、英國（6.3萬）以及法國、荷蘭等地。

泄露的數據不僅對個人隱私構成威脅，還引發了對公共安全的嚴重擔憂。因為這些位置信息雖然經過一定的偽匿名化處理，但仍可以通過不同數據集的組合關聯到具體用戶，顯現出當前偽匿名化技術的局限性。

《明鏡》周刊召集了一支由IT專家和記者組成的團隊，他們發現有人使用免費軟件收集了兩位德國政客娜賈·韋珀特(Nadja Weippert)和聯邦議院議員馬庫斯·格呂貝爾(Markus Grübel)的汽車位置詳細信息。

安全響應：漏洞修復及時但問題深遠

值得肯定的是，Cariad在收到CCC的報告后迅速采取行動，當日即關閉了不安全的訪問權限。CCC也對此給予積極評價，稱其技術團隊“快速、全面且負責任”地應對了問題。經過調查，Cariad未發現除CCC黑客外的其他訪問記錄，也未發現數據被第三方濫用的證據。

Cariad還表示，暴露的數據僅限于車輛連接網絡并注冊在線服務的用戶，其收集的數據主要用于優化電池和充電軟件等數字功能開發。然而，此次事件也暴露出其數據安全實踐中的薄弱環節，包括訪問權限控制和數據存儲保護的潛在不足。

大眾接連暴雷，汽車行業網絡安全亟需系統性改進

距離10月大眾集團遭遇8Base勒索軟件組織攻擊僅僅2個月，大眾集團再次爆出嚴重數據安全事故，凸顯了汽車行業在數字化轉型過程中面臨的嚴峻數據安全挑戰。在車聯網和自動駕駛技術飛速發展的背景下，車輛采集的數據日益復雜，數據安全問題已成為影響企業聲譽與用戶信任的重要因素。

不僅僅是大眾，2024年汽車行業知名企業接連發生重大網絡安全事件，例如：

• 特斯拉的云存儲漏洞：不久前，特斯拉也因其云平臺上的不當配置導致內部運營數據和源代碼泄露，顯示出行業對云環境安全認知的普遍不足。
• 豐田的供應鏈攻擊事件：今年，豐田汽車的供應鏈合作伙伴遭遇勒索軟件攻擊，導致車輛生產數據被竊取，進一步強調了產業鏈數據保護的復雜性。
• 奔馳的用戶數據泄露：奔馳在今年早些時候因第三方服務商失誤導致客戶信用數據外泄，再次提醒企業對外包服務進行更嚴格的監督。

從大眾到特斯拉、豐田等一系列事件表明，汽車行業在邁向智能化和網聯化的同時，必須重新審視其數據安全框架。以下幾點值得全行業關注：

• 加強云安全管理：云平臺作為車聯網數據存儲的核心，需建立更嚴格的訪問控制機制，并引入動態監測和自動修復功能。
• 強化數據偽匿名化技術：目前的偽匿名化技術存在被逆向關聯的風險，需要通過分布式數據存儲和更高級的加密方法增強保護。
• 完善供應鏈安全協作：與外部服務商和供應鏈伙伴的安全協作是關鍵，需制定統一的安全標準并加強合規檢查。
• 提升公眾信任：用戶對車輛數據的使用和保護存在敏感性，企業需通過透明化的安全實踐和及時的安全聲明維護用戶信任。

結論：數據是座危險的金礦

數據已成為汽車行業智能化進程中的關鍵資產，但也是其面臨的最大風險。大眾數據泄露事件不僅是一次個案，更是對整個行業敲響的警鐘。企業只有從技術、管理和文化多方面入手，才能真正構筑起車聯網時代的數據安全防線。