汽车 数据(“3·15”特别关注，人民数据提醒：宝马的低级错误，是汽车行业忽视数据安全的缩影？)

据外媒TechCrunch，2024年2月，汽车巨头宝马公司遭遇了一起云存储服务器配置失误事件。这些数据包括宝马在中国、欧洲和美国的私钥和内部数据，以及登录生产和开发数据库的凭证。随后，宝马发言人证实发生了数据泄露，并表示“没有客户或个人数据受到影响，宝马已在今年年初修复了问题，将继续加强监控”1。

不过，仍有研究人员认为，宝马还未撤销或更改在被暴露的云存储服务器中发现的密码和凭证集。截至目前，尚不清楚数据从何时开始泄露、有多少数据被暴露甚至被恶意访问。

“低级错误”凸显出汽车行业

面临的数字安全挑战

研究人员表示，在例行扫描时发现，宝马开发环境中的微软Azure托管存储服务器脱离了被严格保护的私有状态，而被错误地设置为公共访问状态。《21世纪经济报道》援引资深汽车工程师陈超卓观点表示，宝马这次事件表明其在IT管理上犯了极其低级的错误。虽然事发于云服务，和车载网络安全关联不大，但也反映车企对网络安全有着DNA上的缺陷。当前，网络攻击威胁加速向车端、车联网平台蔓延，这是各大车企面临数据安全危机的其中一个方向。《中国工业报》中国汽车博览板块官方微博@ZGQCBL认为，保护用户数据和企业信息安全至关重要，宝马数据泄露事件凸显了汽车行业在数字化转型中面临的安全挑战。汽车企业需要加强网络安全意识和技术保障，确保用户信息不受泄露和攻击。360公司创始人、董事长兼CEO周鸿祎认为，“未来企业最核心的是数字资产，数据安全建设刻不容缓……新能源车是‘烧’数据。未来的世界主要由数据来驱动，汽车的云端大数据系统被破坏勒索，很多车会趴窝。”

宝马中国客服回应难显诚意

两大车企巨头均涉安全风波

虽然主流舆论和业内纷纷认为，宝马此次数据泄露事件为行业敲响了数据安全的警钟，但宝马的应对却有些“轻佻”。笔者致电宝马中国官方客服热线电话问询事件进展，客服回应先是与此前发言人回应保持一致，随后关于“如何证明没有影响”则无法给出解答，对于数据泄露开始时间以及后续是否有数据安全修复措施，客服也均表示“不清楚”。

实际上，早在一年前的2023年1月，外网便曝光了宝马汽车在API、远程信息处理和其他组件中存在大量漏洞，宝马供应商SSO平台存在密码重置漏洞，可以让黑客实施任意命令执行和信息窃取等非法行为。2 短短一年左右的时间，宝马汽车便陷入了两起引发关注的网络安全风波，其应对最新数据泄露事件的态度，难以让人看到深层改进的诚意。

无独有偶，另一家汽车巨头奔驰也曾被曝光过类似网络安全问题。2024年1月，RedHunt实验室从一名奔驰员工的代码仓库中发现了GitHub私钥，它可访问奔驰企业内部GitHub服务器上的全部代码。不难看出，即便是在业内看来相对基础的安全问题，两大国际汽车巨头也纷纷“中招”。

对此，信息安全专家指出，云存储服务器的配置错误可能导致多种安全风险。私钥的泄露可能会使通信和数据传输面临中间人攻击的风险，而生产和开发数据库的登录凭证泄露，则可能导致未经授权的访问，甚至可能引发更大规模的数据泄露。3此外，还可能会带来商业机密泄露、客户隐私受损等后果。业内建议，企业应采取遵循最小权限原则、定期审查和监控、强化身份验证和访问控制、定期更新和备份等多元化举措，加强防范云资源配置错误，守护智能汽车的网络安全和数据安全。4

大模型加剧数据安全风险

警惕数字资产“由正变负”

汽车行业大V、新浪微博网民“@Will车聊”认为，“现在的智能汽车都在往‘人车家’的智能闭环上走，后期的汽车智能会囊括手机信息、家庭信息、个人信息（工作、爱好、财产、人脉等）等全方位的个人信息，甚至比你自己还要了解你自己”。

试想，如果连宝马汽车这样的行业头部企业都对一些低级漏洞防不胜防，那么未来在AI时代，智能汽车用户或许还会沦为全方位的“透明人”。用户个人信息泄露后不仅容易被利用到电信诈骗，而且在Sora引领的“视频化社会”，还有可能被不法分子炮制虚假视频，从而进一步影响其个人工作和生活。诸如2023年内蒙古包头破获“利用AI换脸技术进行诈骗 金额高达430万元”，以及近日香港警方披露“一跨国公司分部职员参加AI换脸后的多人视频会议，被诈骗2亿港元”，都凸显出人脸等敏感信息被泄露后带来的负面影响。

回到智能汽车行业，早在2021年初，国外黑客曾通过特斯拉车内摄像头，获取其拍摄的车内画面，一度引发对智能汽车隐私泄露的强烈质疑。可见在汽车智能化时代，无论是车企、车主还是监管部门，都不能不考虑人工智能对数据安全风险隐患的“放大镜”甚至倍增作用。

与此同时，大模型正逐渐应用于智能座舱、智能驾驶，这需要“投喂”大量数据，如车辆位置、驾驶行为、用户偏好等。如若这些信息被不恰当地利用或泄露，也将会严重威胁个人隐私安全，这被行业视为2024年汽车数据安全的重点趋势之一5。

未来，车企在网络安全、数据安全和隐私保护领域更要加大数字安全治理的投入，为消费者提供智能驾驶体验升级的同时，避免智能汽车的“人、车、路、云”数据在AI时代“裸奔”。正如“水能载舟亦能覆舟”，如果把智能汽车时代的数字资产比喻为“水”，治“水”的前提下将其充分利用，那么车企在下半场的竞争中势必会“如鱼得水”。但如若任由“水患”积少成多，那么更容易演变为侵害车主权益、损害品牌形象和无益行业发展的“数字负资产”。

1.海外网：宝马被曝发生数据泄露 汽车数据安全面临挑战

http://m.haiwainet.cn/middle/3545022/2024/0223/content_32718832_1.html

2.Toyota, Mercedes, BMW API flaws exposed owners’ personal info https://www.bleepingcomputer.com/news/security/toyota-mercedes-bmw-api-flaws-exposed-owners-personal-info/#google_vignette

3.宝马确认发生数据泄露事件，智能化时代的信息安全如何保障https://mp.weixin.qq.com/s/70MMXMSt2Wba0dc_yDv7Qg

4.宝马数据泄露，云资源配置的锅？

https://mp.weixin.qq.com/s/JDMXaD-SrWhOBjenRHsRHg

5.车百智库、腾讯云《智能网联汽车数据安全年度洞察（2023）——企业免疫力建设》