車企在信息安全方面的投入不足已經(jīng)越來越成為其軟肋。2011年至今，“白帽子”在互聯(lián)網(wǎng)安全漏洞報告平臺烏云網(wǎng)上共提交有關(guān)于車企網(wǎng)站的漏洞達(dá)58個，其中近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露，背后涉及到百萬車主的信息安全。

[[139326]]

對頻頻的騷擾電話顯得無可奈何，不知道自己的手機(jī)號碼等信息已被賣給了多少人——有類似經(jīng)歷或許不止周畫(化名)一個人。近日，有媒體發(fā)表文章稱，有黑客在網(wǎng)絡(luò)上兜售車主信息，只有姓名、手機(jī)、城市和意向車款的詢價信息要價一塊錢一條。該媒體稱，雪鐵龍車主信息泄露規(guī)模或超10萬條。此前，曾有白帽子(不惡意利用安全漏洞的黑客)向互聯(lián)網(wǎng)安全漏洞報告平臺——烏云網(wǎng)提交名為“東風(fēng)雪鐵龍某后臺弱口令可導(dǎo)致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露”的漏洞。該平臺上顯示的漏洞狀態(tài)是，漏洞已通知廠商但廠商忽略該漏洞。

記者就用戶信息泄露一事向東風(fēng)雪鐵龍求證時，該公司內(nèi)部相關(guān)人士回應(yīng)稱，東風(fēng)雪鐵龍的客戶數(shù)據(jù)存放在專業(yè)數(shù)據(jù)庫中，并設(shè)多道防火墻，對數(shù)據(jù)庫設(shè)有監(jiān)控及記錄，對用戶信息做足了保密工作。有業(yè)內(nèi)人士分析指出，雪鐵龍車主信息遭泄露不排除是東風(fēng)雪鐵龍經(jīng)銷商的網(wǎng)站或合作的汽車垂直網(wǎng)站遭黑客攻擊竊取用戶信息。此外，個別4S店或汽車垂直網(wǎng)站的內(nèi)部員工也可能存在賣數(shù)據(jù)的情況。

車企在信息安全方面的投入不足已經(jīng)越來越成為其軟肋。2011年至今，“白帽子”在互聯(lián)網(wǎng)安全漏洞報告平臺烏云網(wǎng)上共提交有關(guān)于車企網(wǎng)站的漏洞達(dá)58個，其中近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露，背后涉及到百萬車主的信息安全。包括寶馬、奧迪、大眾、奔馳、凱迪拉克在內(nèi)的多家汽車廠家網(wǎng)站都被發(fā)現(xiàn)涉及用戶信息泄露的漏洞，而絕大多數(shù)漏洞狀態(tài)都是未聯(lián)系到廠商或者廠商忽略。

網(wǎng)絡(luò)安全投入不足

目前，汽車這個行業(yè)缺乏成熟的網(wǎng)絡(luò)安全管理體系，網(wǎng)絡(luò)運營人員的安全素質(zhì)有待提高，很多車企網(wǎng)站是外包給第三方公司開發(fā)的，沒有交付信息安全公司進(jìn)行評估，因此更有可能留下信息安全風(fēng)險。

“在大數(shù)據(jù)時代，用戶隱私遭泄露的問題日益突出。如同許多傳統(tǒng)制造行業(yè)中的企業(yè)一樣，車企亟待轉(zhuǎn)化互聯(lián)網(wǎng)思維以及加強(qiáng)互聯(lián)網(wǎng)安全管控等。不過，要跟上互聯(lián)網(wǎng)發(fā)展的步伐不太容易。例如，從人才方面看，隨著互聯(lián)網(wǎng)快速發(fā)展，系統(tǒng)安全工程師、系統(tǒng)架構(gòu)工程師以及數(shù)據(jù)分析工程師等人才緊缺，這類專業(yè)人才往往集中在互聯(lián)網(wǎng)企業(yè)，薪酬也較高，而車企相對缺乏這類人才。”從事互聯(lián)網(wǎng)行業(yè)的業(yè)內(nèi)人士阮喜海接受記者采訪時談道。

另一位從事網(wǎng)絡(luò)安全方面的專業(yè)人士接受記者采訪時也談到，網(wǎng)絡(luò)安全管理體系方面投資非常大，涉及人才、軟件、硬件、服務(wù)以及管理等方面，互聯(lián)網(wǎng)企業(yè)也是一步步投入不斷完善。目前，不同行業(yè)在網(wǎng)絡(luò)安全方面投入比例不一，預(yù)計汽車行業(yè)在網(wǎng)絡(luò)安全方面投入往往較少，一些車企為了節(jié)約成本，往往將數(shù)據(jù)庫、服務(wù)器都放在公網(wǎng)上，這樣很容易被黑客攻破。

“一旦發(fā)現(xiàn)系統(tǒng)有漏洞，將及時采取主動或被動措施，在認(rèn)證授權(quán)系統(tǒng)中對服務(wù)器設(shè)置權(quán)限管理，以及與經(jīng)銷商、汽車垂直網(wǎng)站等簽署保密協(xié)議等，這些措施在一定程度上將可防止用戶數(shù)據(jù)泄露。不過，許多車企都未能建立起一套行之有效的網(wǎng)絡(luò)安全管理體系，除了投入大這一因素之外，往往對網(wǎng)絡(luò)安全意識也不強(qiáng)，畢竟與互聯(lián)網(wǎng)融合時間不長。”上述網(wǎng)絡(luò)安全人士稱。

車聯(lián)網(wǎng)安全備考

黑客防不勝防，令車企煩惱的不僅是車主信息被泄露這一困擾。隨著越來越多車企踴躍加入車聯(lián)網(wǎng)浪潮中，信息安全隱患也隨之而來。早在2013年，美國國家公路交通安全管理局已經(jīng)認(rèn)識到汽車內(nèi)需要安置不兼容系統(tǒng)，并設(shè)立了專門機(jī)構(gòu)，負(fù)責(zé)車輛網(wǎng)絡(luò)安全問題?，F(xiàn)在汽車與網(wǎng)絡(luò)的聯(lián)系越來越緊密，以后將能夠與周圍環(huán)境交流。如果車輛被黑客軟件侵襲，車輛可能會發(fā)生嚴(yán)重的交通事故。

美國馬薩諸塞州參議員EdMarkey辦公室今年發(fā)布一份報告，指出很多汽車制造商沒有準(zhǔn)備好解決汽車潛在的信息安全問題。Markey的辦公室發(fā)函詢問19家包括寶馬、通用、本田等主要的汽車制造商，比如現(xiàn)在的汽車一般采用了哪些新技術(shù)、收集到個人駕駛信息如何管理以及采取哪些措施防止黑客攻擊等，其中16家回復(fù)發(fā)函。遺憾的是，這些在車上部署無線技術(shù)的公司對問題中的概念甚至表示無法理解。該報告指出，在接受調(diào)查的這些公司中，有兩家表示能夠診斷或者反饋黑客入侵后的情況，有一家公司表示能夠及時檢測黑客入侵，剩下的公司表示這些用來保證安全的無線技術(shù)“不會被黑客用來入侵”。其實，像車上的信息娛樂系統(tǒng)和導(dǎo)航系統(tǒng)，很可能通過聯(lián)網(wǎng)技術(shù)，被惡意軟件或者黑客攻擊。

烏云網(wǎng)合伙人鄔迪接受記者采訪時稱，盡管網(wǎng)絡(luò)安全目前投入成本大，又未直接產(chǎn)生經(jīng)濟(jì)效益，但到將來互聯(lián)網(wǎng)時代，安全可能是個賣點，部分傳統(tǒng)的車企或許還沒有注意到這點。“烏云上有不少因聯(lián)網(wǎng)漏洞可導(dǎo)致車輛被控制，這將會導(dǎo)致行車安全問題。”鄔迪說。