目前已经发现一个汽车数据库被泄露至网络当中,数据库囊括美国本土出售的上千万辆汽车以及相关购买者的个人信息。受这起泄露影响的汽车经销商包括Acura(讴歌)、BMW(宝马)、 Chrysler(克莱斯勒)、Honda(本田)、 Hyundai(现代)、 Infiniti(英菲尼迪)、 Jeep(吉普)、 Kia(起亚)、 Mini(迷你)、 Mitsubishi(三菱)、Nissan(尼桑)、Porsche(保时捷) 和Toyota(丰田)。
这套未受保护的数据库由Kromtech安全研究中心的研究人员们所发现,其中共包含以下三组数据:
●车辆细节信息:车辆识别编码(简称VIN)、制造商、型号、型号年份、车辆颜色、里程数等。
●销售细节信息:VIN、里程表、销售总额、付款方式、每月付款金额、购买价格、支付方式等。
●客户细节信息:全名、地址、手机/家庭/工作电话、电子邮件、出生日期、性别、职业等。
E安全百科:什么是汽车VIN码?
VIN是英文Vehicle Identification Number(车辆识别码)的缩写。因为SAE标准(美国机动车工程师学会)规定:VIN码由17位字符组成,所以俗称十七位码。它包含了车辆的生产厂家、年代、车型、车身型式及代码、发动机代码及组装地点等信息。正确解读VIN码,对于我们正确地识别车型,以致进行正确地诊断和维修都是十分重要的。
Kromtech公司首席沟通官鲍勃·迪亚琴科指出,该数据库似乎属于一整套来自美国各大型与小型汽车经销商的销售数据集合。
他同时补充称,“这套数据库已经拥有超过137天的网络传播时长。安全研究人员们目前尚未确定该数据库的所有者,但已经提醒各涉事经销商与潜在数据拥有者与其进行联系。”
犯罪分子能够利用这些数据达成哪些目的?
迪亚琴科解释称,“高水平犯罪分子现在已经建立起一种将偷车等传统离线犯罪与技术手段相结合的途径。犯罪分子现在正利用泄露或者遭遇窃取的数据获取车辆的惟一标识,而后‘克隆’其VIN以帮助被盗车辆获得合法身份。”
“犯罪分子们首先选定其想要盗窃的车型,而后利用VIN数据库制作一套新的VIN号码并创建一个假名。一旦其从车辆数据库当中获得被盗汽车的信息以及真实车身编号,即可将车卖给毫无戒心的买家。受害者可能无法立即意识到这是一辆赃车——直到犯罪分子早已带着售车款远走高飞,再也无法被追回。”
过去十年,偷车贼一直在使用被盗的VIN码“合法”买卖被盗车辆,FBI将其称之为“汽车克隆”。
“汽车克隆”如何实现?
FBI对“汽车克隆”运作方式解释如下:
偷车之后,窃贼会前往邻近的州寻找一家较大的汽车经销商,并寻找被盗车辆的确切品牌和型号(甚至相同的颜色)。
之后,他们会记下仪表板上方的VIN码。
接下来,他们会制作新的VIN标签,用新标签替代旧VIN码。“克隆”汽车就此诞生:两辆不同的车,却拥有相同的VIN码。
最后,窃贼通过伪造方式获取相关文件。之后,窃贼会出售这辆“克隆”车,甚至丝毫不会让买方起疑心,因为看起来车辆经合法注册,也未被爆出被盗的相关信息,因此,可谓设计得天衣无缝。
创建备份钥匙掌握车辆VIN也可能允许犯罪分子为其创建钥匙备份,从而在无需入侵车辆系统的前提下将其偷走。过去三年以来,蒂华纳摩托车俱乐部的成员利用这种特殊方法窃取到多台吉普牧马人。
犯罪分子此前并没有从数据库中获取VIN,而只是直接从车辆仪表板上进行读取。
在最近的公开起诉书中,检方解释称“侦察人员会将VIN发送给团伙头目,后者再将VIN发送给钥匙制造者。通过未经授权的专有数据库访问操作,钥匙制造者能够提供适用于吉普牧马人车型的钥匙代码副本以借此骗过车型的身份验证机制,同时附带另一份代码片段——后者用于对车辆微芯片进行编程。”
就在去年,安全研究人员特洛伊-汉特(Troy Hunt)展示了一项可用于同日产聆风车型(一款高人气电动车)进行交互的移动应用漏洞,未经身份验证的远程攻击者可以利用此项安全漏洞开启并关闭汽车的脽怀加热系统。要实现这项攻击,恶意人士只需要掌握目标车辆的VIN即可。
数据安全的重要性
此次泄露事件对专家而言已不是什么值得惊讶的事情,因为专家长期以来就警告称,网络犯罪分子对客户的数据库尤为青睐。专家建议组织机构专注数据保护技术,防止欺诈分子窃取数据,并防止意外数据泄露事件。
网络犯罪正变得日益狡诈。此报道再次向汽车经销商敲响警钟,经销商应竭力保护数据安全。
迪亚琴科在Have I Been Pwned(HIBP)提供了被泄数据库副本,以便美国车主前往该网站查询自己的信息是否被泄,车主可以通过姓名、电子邮箱或其它详情查看自己的汽车VIN是否被泄。
车主如何预防?
几乎没有车辆能免除被盗的风险。但是车主可以适当降低风险,例如:
将车锁好;
将车停在光线好的地方;
遮住仪表板上方的VIN码;
使用防盗警报和其它安全措施。
如果担心买到“克隆”车,E安全建议搜索查看VIN。此外,用户还应谨慎所谓的“优惠交易”。
本文转自d1net(转载)
