丰田近30万用户信息泄露,谁来守护黑客“瞄准镜”下的制造业安全?

合规科技吴立洋,实习生张玲,骆婷 2022-10-10 19:33

制造业企业近年来遭到网络安全攻击的频率正在急剧上升,2021年制造业超过金融和保险业,成为最多遭到网络犯罪团伙攻击的行业。

英特尔酷睿处理器源代码泄露,勒索攻击威胁下软件开发业如何度过“黑客劫” 《GTA6》未发售便遭黑客偷跑,游戏企业如何保卫源码安全?

南方财经全媒体 记者吴立洋 实习生张玲,骆婷 北京报道

近日,丰田汽车发布公告称,其近30万名客户的电子邮件、客户编号等信息可能遭到泄露,并警告用户其电子邮箱面临收到垃圾邮件和钓鱼邮件的风险。

丰田方面表示,目前难以从数据服务器访问历史中确认是否存在非法第三方访问者,不过本次信息泄露并不包含用户姓名、电话号码、信用卡等敏感个人信息。

但相关安全领域专家在接受南方财经全媒体记者采访时提醒,目前还不能完全排除用户信息的安全风险,且由于发生泄露的T- Connect系统主要为丰田汽车提供远程车载信息通信服务功能,相关信息安全可能会影响到汽车行驶过程中的车联网安全,因此需要进一步排查和审慎处理。

潜在的安全风险

据悉,本次发生用户信息泄露的是丰田的远程车载信息通信服务T-Connect,其主要收集的信息涉及账号、访问记录等用户信息,以及包括地理位置、系统信息、业务相关的车辆数据。

丰田方面表示,经调查发现,客户信息泄露的源头,是开发T-Connect网站的承包商于2017年12月将部分源代码上传到开源代码网站GitHub上,并不小心将权限设置成“公开”。

此外丰田方面还表示,此次事件中泄露的信息为用户邮箱及客户编号等“非敏感信息”,且到目前尚未收到任何客户信息被滥用的报告。

关于此次事故发生的原因,锘崴科技董事长王爽在接受南方财经全媒体记者采访时表示,可能是一些配置文件的信息在公开代码时披露导致的,“由于相关人员在分享代码时可能忘记删去相关内容,导致第三方黑客可以利用配置文件中的信息入侵系统。”

他进一步指出,目前已知被泄露的信息包括用户邮箱和客户编号信息,但并不排除其他信息被泄露的可能性,且由于无法确认是否有第三方访问了客户信息,只能说明当下还没有产生信息泄露的后果,但是后期依然存在安全隐患,“例如,如果上述配置文件中的信息与已经泄露的用户电子邮件和编号以外的数据系统具有一定的关联性,用户账号和其他个人信息也存在被泄露的风险。”

据了解,T-Connect是丰田原远程车载信息通信服务“G-BOOK”的更新换代版,于2014年正式上线。其官网介绍显示,T-Connect的具体功能包括远程启动、地图导航、车内Wi-Fi设置、查看汽车状态等功能,用户可以使用配套的APP在手机上实现对车辆的控制。

也正是因为T-Connect系统与车辆绑定的特殊性,除了用户个人信息泄露的问题外,本次事件也引发了对不法分子是否可能破解车联网系统,基于远程操控对汽车驾驶过程展开攻击的担忧。

绿盟科技创新研究院车联网行业专家刘大鹏指出,由于远程车载信息通信服务系统是主机厂对其名下车辆开展远程诊断及信息服务的主要系统,具有远程控车能力,若公开的源代码中,被不法分子利用并逆向分析,可能存在获取系统控制权限,并基于此发起非授权远程控车指令,造成车辆被非法远程控制的风险。

王爽同样印证了这一判断,他指出,用户名等相关信息如果被非法获取,黑客可能会伪装为用户连接到汽车上,发布远程指令控制汽车相关功能,具有潜在的安全风险。

制造业安全亟待重视

事实上,这并不是丰田首次遭到网络安全与信息安全问题困扰。今年2月,因一家供应商遭到网络攻击,丰田被迫暂停14家工厂28条生产线一天的运营。次月,丰田旗下子公司日本电装株式会社遭遇勒索软件攻击,部分内部资料被黑客获取。

2019年,因黑客入侵服务器,丰田部分销售子公司超过310万名客户信息被窃取,虽然事后丰田强调泄露的信息重并不包含用户的细节财务信息,但也并未完全披露被盗的数据类型。

同样的问题也发生在汽车制造商同行中。2021年,大众汽车集团宣称,因为一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,这导致330万名客户的数据遭泄露。今年10月,法拉利被勒索软件团伙RansomEXX窃取了7GB数据并被发布到网络中,其中包括内部文档、数据表、维修手册等。

近年来,制造业企业遭到网络安全攻击的频率正在急剧上升,据IBM安全情报部门发布的报告显示,2021年制造业已超过金融和保险业,成为最多遭到网络犯罪团伙攻击的行业。此外,由于智能穿戴设备、车联网、医疗设备等行业与用户个人关联紧密,此类厂商遭到攻击后往往业伴随着大规模个人信息泄露的风险。

以汽车行业为例,据有关专家介绍,在智能网联汽车运行过程中,激光雷达、毫米波雷达、摄像头、车辆CAN/以太网网络会不断产生和收集与道路信息和驾驶行为信息相关的数据,同样也有可能造成其他用户或其他主体的信息安全隐患。

刘大鹏表示,汽车车联网相关系统通常被称为TSP系统,针对其的数据安全防护,一般是主机厂较为重视的工作,通常会按照信息安全等级保护要求开展网络与数据安全体系化能力建设,包括建设和部署系统数据访问审计、数据库防火墙、数据防泄漏等安全设备,构建技术防护体系,常态化开展数据安全运营等数据安全技术加固与运营。当前行业较为普遍的标准是能够达到信息安全等级保护二级及以上的网络与数据安全要求。

在政策端,相关的行业标准也在进一步完善。今年9月,工信部公开征求对《国家车联网产业标准体系建设指南(智能网联汽车)(2022年版)》(征求意见稿)的意见,修订100项以上智能网联汽车相关标准,包含网络安全和数据安全等安全标准,满足智能网联汽车技术、产业发展和政府管理对标准化的需求。

王爽指出,汽车行业相关厂商为避免本次丰田信息泄露类似的安全问题,首先要从技术系统上重视安全意识,提升整个系统设计的安全性能;其次要落实系统上线后的相关安全检测,确认检测标准和检测环节依照信息安全的相关标准严格检测,排除潜在风险;最后可以采用隐私计算等新技术升级安全性能,即使遭遇类似的供应商代码泄露事件,加密保存的信息也不会酿成信息“脱库”的严重后果。

(作者:吴立洋,实习生张玲,骆婷 编辑:李润泽子)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926