隨著連網功能成為汽車的標準配備,個資隱私也成為消費者與汽車製造商的隱憂。德國《明鏡週刊》揭露,福斯汽車旗下軟體公司 Cariad 面臨大規模資料洩露風險,導致約 80 萬名電動車車主的個人資料,在網路上可公開存取數個月。
這次漏洞的影響範圍,涵蓋德國、歐洲與全球其他地區的福斯、奧迪、SEAT、Skoda 車主的電動車。這些資料包含 GPS 定位、個人聯絡資訊等,可以知道車主在何時、何地停車。在被公開的 80 萬個資料中,有 46.6 萬起的位置資料精確度高到足以讓任何獲得存取權的人,追蹤每位車主的日常生活。
問題的根源:軟體配置錯誤
根據報導,福斯集團的客戶敏感資訊,在未受保護且 IT 應用配置錯誤的亞馬遜雲端儲存系統上暴露了數個月,可以讓有意人士繞過安全措施存取車主資料庫,問題現已修復。
是誰發現了這項漏洞?歐洲最大的非營利白帽駭客組織 Chaos Computer Club(CCC)發現這項漏洞後,在 11/26 向福斯旗下公司 Cariad 舉報,並同時寫信給福斯集團總部、德國下薩克森州的資料保護官員、聯邦內政部和其他安全部門。
根據報導,Cariad 在幾個小時內做出了回應、阻止未經授權的存取權限,並指出沒有證據顯示 CCC 駭客之外的人存取了公開的車輛資料,或已被第三方濫用──Cariad 向客戶強調密碼、支付資訊等敏感資料沒有被洩漏,不會受到影響,不需採取任何行動。
軟體成為汽車重要配備,隱私問題將影響消費者信任
儘管如此,人們並不滿意,因為這次暴露風險的車主名單龐大,包含德國政客、企業家、漢堡警方的電動車隊,甚至間諜也可能陷入這場數位災難。如果這些資料落入壞人手中,例如犯罪份子、詐欺者、勒索者、甚至跟蹤者,都可能對受影響的電動車主構成嚴重威脅。2 位德國政界人士向外媒表示,已督促當地汽車製造商改進網路安全。
這不是第一次有汽車製造商的軟體出現安全問題,TOYOTA 在去年也承認發生重大資料外洩事件,影響日本超過 200 萬車主。當連網功能、基於雲端的服務成為今日汽車的標準配備,汽車製造商也需要讓消費者相信公司會保護個資隱私,才能完全接受這些高科技功能。
【推薦閱讀】
◆ 盤點 2024 重大資料外洩事件:從金融、零售到政府,駭客全都不放過
*本文初稿為 TechOrange 使用 AI 編撰,資料來源:《The Verge》、《CARSCOOPS》、《Electrek》、《明鏡週刊》,首圖來源:Unsplash。