文 | 张家栋 编辑 | 张广凯

近日，全球知名汽车制造商宝马公司发生一起严重的数据泄露事件。

据研究人员 Can Yoleri 报告，他在例行扫描中意外发现，宝马在微软 Azure 平台上的云存储服务器配置错误，被设置为公共访问状态，而非计划中的私有状态。这一配置错误导致宝马的私钥、内部数据以及其他敏感信息暴露于公众视野。

Yoleri 在详细报告中指出，这个被错误配置的服务器中包含了大量的敏感信息，其中包括 Azure 的访问信息、访问私有存储服务器地址的密钥，以及其他与宝马云服务相关的详细信息。

TechCrunch 报道称，此次暴露的数据中包括了宝马在中国、欧洲和美国的云服务私钥，以及生产和开发数据库的登录凭证。

尽管宝马的发言人表示，此次事件并未影响客户或个人数据，但此事件无疑对宝马的信息安全公信力提出了严峻的考验。

该发言人还补充道：" 宝马集团已于 2024 年初修复了这一问题，我们将继续与合作伙伴一起监控情况。"

不过，Yoleri 指出，宝马尚未撤销或更改在被暴露的云存储服务器中发现的密码和凭证。

近年来，随着 " 软件定义汽车 " 概念持续深入人心，智能网联汽车市场地位不断提升。随着智能化技术快速发展，软件、芯片以及大数据成为智能网联汽车的重要组成部分。

然而，在上述配置为消费者带来更加便捷出行体验的同时，其中蕴含的危险因素也不容忽视。

2020 年，特斯拉曾因系统宕机导致数以万计的车主无法通过 App 连接汽车；2021 年年初，一则国外黑客，通过特斯拉车内摄像头，获取其拍摄的车内画面曾在社交媒体平台上广泛传播并引起关注。

对于该事件，特斯拉官方发表声明称：" 驾驶室摄像头目前在北美以外的市场并没有激活。即使是在美国，车主也可以自由选择是否开启使用。"

但即便马斯克在 2021 年中国发展高层论坛上特意强调：" 特斯拉是不会将收集到的数据用于间谍活动的，因为这样会让发展受到严重的影响，我们愿意采取最高等级的保密措施，希望和大家共创互信的未来。" 甚至还在中国建立数据中心，但其品牌形象所遭受的损失，却难以挽回。

2022 年，蔚来也曾被曝出有不法分子在网上出售蔚来相关数据，并以泄露数据为由，向蔚来勒索价值 225 万美元等额的比特币。事后，蔚来董事长李斌同样在社群中向车主与外界做出道歉，并作出回应称：" 坚决不和犯罪分子妥协，不做赔付的先河。哪怕公司赔破产了，也不会妥协。"

尽管从结果来看，无论是特斯拉被黑客的袭击，还是蔚来遭受的不法分子侵扰，近年来的数起大规模车辆数据泄露事件都未造成太过严重的后果，但事实上，这些数据不止能被拿来敲诈勒索，此类信息也易于被不法分子窃取并贩卖，并带来身与财的 " 精准打击 "。

此前，有业内专家分析指出：" 一辆智能网联汽车每天至少收集 10TB 的数据，不仅数量极大，而且涉及驾乘人员的出行轨迹、习惯、语音、视频等关键信息，一旦遭受侵害会泄露个人隐私。"

进入 2024 年，可以预见的是，伴随着车联网应用与智能驾驶等技术的进一步上车拓展，汽车摄像头、激光雷达等各类传感器更多，采集到的信息很有可能涉及敏感地点，即内容非法；一些激光雷达精度很高，也可能造成精度非法。

去年，便有多起车内摄像头拍摄的视频片段流露至社交媒体，引起广泛关注的案例。

而年底某汽车媒体在冬测后，多家汽车厂商调取后台车辆数据的做法，也令消费者对行车数据的安全与保密性产生了一定的担忧。

据去年满意度调查机构 J.D.Power 的调研数据显示，有 90% 的用户更倾向于数据安全防护高的汽车品牌。

业内人士指出，数据跨境传输一直缺乏有效的监管机制，但涉密数据跨境传输对国家安全影响极大，且一旦数据传出，后期整治、修补的难度更大。

工信部此前发文表示，伴随汽车网联化发展，网络攻击威胁加速向车端、车联网平台蔓延，车联网网络安全事件不仅影响公民隐私、财产和生命安全，甚至可能危害社会安全和国家安全。

也正是因此，从 2021 年至今，全球多数国家和地区均在不断完善针对汽车产品的隐私和数据保护的相关法律法规。

以中国为例，目前，国家互联网信息办公室已经在室务会议审议通过《汽车数据安全管理若干规定（试行）》条例，即从政策层面对汽车数据从收集、分析、存储到传输、查询、应用和删除等全流程作出了较为详细的规定。

同时，在信息安全的运营端方面，车企则需要承担起相应的信息数据安全采集与防护责任。

在中国车企中，长城汽车针对信息安全，从云端进行了全方位安全设计，并与国家互联网应急响应中心、奇虎 360、百度安全实验室、中国汽车技术研究中心等机构合作，先后成立安全共建实验室、开展信息安全方面的技术研究等，以提高整车信息安全防护水平。

比亚迪则积极开展各项数据安全与合规的认证工作。目前，比亚迪已获得 R155（CSMS）、R156（SUMS）体系认证等安全认证，并通过了国家信息安全等级保护三级认证。

理想汽车则采取全流程数据加密监控，从设计、研发到生产，每个阶段的安全都全程介入，同时实现分域隔离、纵深防御，对供应商进行安全管控，掌握安全的主动权。

但诚如本次宝马数据泄露事件的发生，即便在较为完善的政策监管以及技术保护下，大型企业似乎也难以完全避免信息技术管理上的疏漏。

信息安全专家指出，云存储服务器的配置错误可能导致多种安全风险。私钥的泄露可能会使通信和数据传输面临中间人攻击的风险，而生产和开发数据库的登录凭证泄露则可能导致未经授权的访问，甚至可能引发更大规模的数据泄露。

而对于全球汽车企业而言，宝马的信息泄露只是在智能化技术快速发展之路上的又一次警示，信息安全的技术与管理的比拼，同样是激烈厮杀的智能化技术内卷这张明牌下的潜在竞争。