freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

屡屡曝出重大安全问题,丰田新能源成“杂牌”?
2023-06-08 14:06:14
所属地 上海

丰田的新能源之路异常坎坷,这点从其屡屡爆发的数据泄露、网络攻击事件中可见一斑。

日前,丰田汽车公开致歉,承认了其公司一起长达10年的数据泄露事件,涉及约215万客户。丰田公司的发言人称,由于人为错误,丰田云平台系统的账户性质被设置为“公共”而非“私人”,这导致车辆的地理位置、识别号码等数据处于开放状态。此次数据泄露涉及到2013年11月至今年4月订购丰田 T-Connect、G-Link、G-Link Lite 和 G-BOOK 远程信息服务的所有用户,其中还包括部分雷克萨斯的车主。

1686557450_6486d30a8ba0748270ed9.png!small?1686557451445

也就是说,在这十年间,其车主数据库几乎等于“门户大开”的状态,而造成这一切的背后原因,却仅仅是因为一个“人为失误”?

1686195414_64814cd66a336c350904e.jpg!small

图源:丰田日本官网

如此不严谨的大失误,实在很难让人将其和曾经那个汽车行业的佼佼者丰田联系在一起。

曾经的丰田,凭借卓越的品质和可靠性赢得了全球消费者的赞誉。但是,近年来,丰田汽车的质量口碑却双双崩塌,这让人们开始重新审视这个曾经的“神话”。

数据泄露已成丰田的“家常便饭”

智能化浪潮下,汽车数据安全愈发受到重视。可丰田在这一点上似乎是个妥妥的“后进生”。

来看看这一次重大的数据泄露事件后,丰田的回应。他们将原因归咎于云服务缺乏“积极监测机制”,并表示今后将引入持续审核云服务设置的制度,也将在数据处理规范方面严格培训员工。

这个云服务是什么?它其实就是丰田为数字化转型做出的一次大跨步,也是丰田目前在“电气化”转型中重要的一环。

云服务,是一个可为车主提供包括保养汽车提醒、连接流媒体娱乐、发生车祸后拨打求助电话、车辆遭窃后发送定位等服务的平台。从2019年开始,丰田汽车为所有新上市的汽车标配了车载数据通信模块,成功实现在用户同意的情况下将车辆数据全部传输到后台的车联网系统。

这意味着,此项服务对数据安全的要求极高,因为其内部数据一旦泄露,极可能造成车主财产损失、隐私泄露,甚至导致车主人身安全受到威胁,隐患极大。

这又进一步说明了,丰田在智能化的进程中,对于数据安全维护的“动作”是相对落后的。

回顾这些年,丰田已经出现过诸多数据泄露事件:

今年2月,丰田就遭遇了一次严重的用户信息泄露事件。黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud,从而获得了海量的用户数据,且至今为止数据泄露已有一年半之久。

1686195445_64814cf5f1b75e94f3c4e.png!small?1686195447166

图源:财联社

今年 1 月,丰田汽车在印度的业务也曝出信息泄露事件,部分用户的个人信息被攻击者非法获取。

去年10月,丰田T-Connect近30万用户的个人信息被攻击者窃取。

同年,丰田汽车因一家塑料部件和电子元件供应商遭到疑似网络攻击,致使日本14家工厂的28条生产线暂停运行,上述生产线停运也将导致约13000辆汽车的生产受到影响……

丰田近年来曝出的用户信息数据泄露事件屡见不鲜,这让不少消费者对于丰田汽车的数据信息安全打上了一个大大的问号,并且不禁从心底想问问,丰田到底怎么了?为什么这个曾经的“神话”如今已经几近破灭。

新能源时代,安全虚浮的“丰田”

皮实耐用、油耗低曾经一度是日系车的标签。曾几何时,人们偏爱日系车到甚至不惜加价求购一辆。但如今被逼着走上电气化道路的日系车,开始不断暴露出种种安全问题,让消费者开始对其重新审视。

伴随汽车电气化、智能化高速发展,从最开始的“机械定义汽车”到现在的“软件定义汽车”。车企们在需求端的刺激下,一边探索全新的发展模式,一边查漏补缺。虽说在数据安全这一问题上,大家都是摸着石头过河的状态。但如果不予以重视,那么最直白的后果就是——频频出现的安全问题。汽车行业的数据泄露事件已经屡见不鲜,比如:

去年12月20日,蔚来汽车发布了一则“关于数据安全事件的声明”,称其收到外部勒索邮件,并以数据泄露勒索225万美元的比特币。经过蔚来汽车内部初步的调查,证实被窃取的数据中共包括蔚来内部员工数据22800条、车主用户身份证数据399000条。

对此事件蔚来回应称:已对公司网络信息安全进行排查和强化,后续将加强技术力量,提升信息系统的安全防护能力,充分保护用户信息安全。

由此可见,随着制造业转型自动化和智能化,企业面临最直观的问题是数据体量指数级增加,以及传统的IT基础设施趋于多样化,都将大大增加数据安全的风险。

对于企业来说,是否在网络安全体系建设方面拥有长远的规划,让安全能力随着企业的发展而不断成长,是一个必须要思考的问题。

再回看丰田,其之所以未能对数据安全这个问题倾注更多精力,背后的原因有迹可循。

这些年来,丰田在其前社长丰田章男的领导下一直都将精力放在研发氢燃料电池汽车上,对纯电动汽车始终嗤之以鼻。丰田汽车社长章男因曾在与马斯克合作的纯电版 RAV4 上栽了大跟头,更不止一次在公开场合抨击纯电动汽车称,纯电动汽车完全就是“伪新能源”。以至于直到2022年,才只能交付出bZ4X 这样的半成品纯电动车。

丰田因期早期领导人固执的坚持,已经导致其在电动化进程上是个“落后者”,奋力追赶忙着造车都来不及,更别说顾及数据安全这些方面了。

1686203725_64816d4dbec19724ca0e8.png!small

再加上早期的丰田文化,一直强调“精益求精”和“节约”。 精益生产是丰田公司践行的一个生产理念。这种文化极可能导致丰田在信息安全这个领域进行投资和改进时遇到困难,从而降低了公司在信息安全上的整体水平。一直以来,丰田在很多方面都倾向于保持传统方法,而不是采用最新的技术来应对信息安全挑战。

上述这些,都是丰田数据安全体系不够完善的原因所在。

同时我们还注意到,作为全球知名的汽车巨头,近几年在销量上的表现也不是很理想。丰田公司5月10日宣布,丰田2022财年主营业务利润及净利润明显下降。据官方数据显示,丰田汽车2022年在中国市场的新车销量约为194.06万辆,较2021年减少0.2%,这也是10年来丰田汽车在中国市场首次出现销量下跌。

而丰田却将销量大跌归咎为芯片等零部件短缺、疫情反复、以及“春节期间需求的乏力”等。但是其他自主品牌新能源车涨声一片,这些原因显然站不住脚。

日系车企在电动化转型上滞后已经是一个国际公认的事实。其中的原因也都是众所周知,点错科技树、不懂市场、造车理念上的保守和国内制造业的衰落……但即便是已经遭到现实如此的捶打,日系车企在电动化转型这件事情上依然表现出一种匪夷所思的态度。

虽然现在丰田前社长丰田章男已经下台,但其53岁的继任者佐藤恒治能否力挽狂澜承其愿,尚未可知。

但看到这里,我还想试问一下,当一家车企频频泄露用户数据、且汽车安全测试造假,存在诸多安全隐患,它的成绩单又怎么可能会好看呢?

智能化时代,安全成为新的红线

放眼全球,汽车数字化、网络化、智能化已是大势所趋。

而随着整个汽车行业数字化的提升,车企在技术及产品研发迭代、企业战略决策、数字化营销等多个方面都离不开数据的介入。因此,整车技术框架越是复杂,车企越要加强IT设施及云端的安全管理,且这个任务已经是迫在眉睫。

要知道,当下的‘安全’不再单指汽车本身的性能安全,还包括数据安全。如果信息安全无法得到保障,最直接的表现就是——消费者干脆不敢用。

从前,消费者更加看中的是车辆的传统技术和车辆配置,但现在的消费者早已不同往日,他们对于车企的数据处理能力有更高的要求。

其实这个事从之前特斯拉车主维权事件已经可以感受到,当下汽车消费者的数据安全意识已经警醒!

据益普索Ipsos发布的《全球趋势洞察2020》报告中调研显示,自2013年以来,全球民众对企业使用消费者个人数据方式的担忧上升了8%。

1686195467_64814d0bf2020d3064dbb.png!small?1686195469027

图源:益普索Ipsos发布的《全球趋势洞察2020》报告

与此同时,消费者对于数据共享并不是完全拒绝的,他们乐意通过分享自己的数据而换取更好的服务和产品,但期望能清楚企业如果使用他们的数据,以及获得对自己数据的掌控权。

但如何保存客户信息,并最大程度的维护信息数据安全,就成了目前整个汽车行业面临的一个艰深的挑战。

数据显示,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。而目前,大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略。

1686206229_64817715d42db03d6621e.png!small?1686206231332

据我们粗略统计,仅仅半年时间内,现代、沃尔沃、宝马、特斯拉、蔚来、奥迪等多家知名汽车企业都曾曝出过多起用户数据泄露事件,形式包括但不限于黑客入侵、勒索软件、企业内部员工泄密……这些,都给汽车行业敲响了警钟。

由于数字化和网络化在快速发展,现代汽车越来越依赖于软件和电子控制系统。这些技术的引入使得汽车变得更加智能化、安全和环保。但同时这也让汽车变得更加容易受到黑客攻击和数据泄露的风险。特别是对于像丰田这样的大型汽车制造商而言,管理和保护大量敏感数据的难度也随之增加。

无视安全问题,丰田沦为“新能源杂牌车”?

丰田作为一家老牌的日系车企,承载着不少人的情怀,几乎每一辆车都有着十分悠久的历史,威驰、卡罗拉、花冠、皇冠、普拉多等都曾在大家心中留下过深刻的印象。但随着时间的推移,现在的丰田已经只剩下所谓的情怀了。
往日的匠人形象,真的快要被一次次数据泄露、造假和隐瞒缺陷等行为击打成粉碎了。

对于丰田汽车频频出现的数据泄露事件,网友们已经见怪不怪了,甚至有人调侃说:“这次丰田社长又得公开鞠躬了。”可见消费者已深知车企的“套路”,似乎一出错就道歉就理所应当的可以求得原谅。可是如果丰田仍然抱着一种“坐吃山空”的态度继续发展下去,那么相信日企高管们再多的90°鞠躬,都永远换不回曾经的“神话光环”。

另外,汽车数据泄露问题也绝不能止于车企的“道歉”。

车企需要真正的提升数据安全意识,明确数据安全和合规不是简单的“打补丁”,必须要以实践经验为基础,建立自主的数据管理体系才是“硬道理”。

1686195490_64814d22eb8b01a9b2770.png!small?1686195492218

以前大家对汽车数据的重视程度不够,汽车数据漏洞也比较多。多数车企对陈年数据监管不严,没有及时对陈年数据中的涉密数据与其他非涉密数据进行切割,也没有及时查漏补缺,一旦被钻空子,极易造成车主个人隐私泄露等严重后果。

诸如丰田这类的车企,要想真正在高速发展的浪潮中“转型”、“重生”,大概首当其冲的就是管好那些数据安全的“旧账”。如果今后还不能在数据安全方面引起重视,那被市场“末位淘汰”可能真就只是时间问题了。


参考来源:

https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/

https://www.thepaper.cn/newsDetail_forward_23310327

# 数据泄露 # 数据安全 # 汽车安全 # 数据泄露事件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录