最近幾年，安全漏洞一直影響著各大車企，既有法拉利、保時捷這樣的超豪華品牌，也有豐田、福特這樣的資深汽車玩家。據不完全統計，包括通用汽車、菲亞特克萊斯勒、特斯拉、大眾等在內的100多家汽車相關企業的機密數據曾被泄露。

日前，據外媒TechCrunch報道，汽車巨頭寶馬的云存儲服務器發生配置錯誤事件，導致私鑰和內部數據等敏感信息暴露。研究人員Can Yoleri表示，其在例行掃描時發現寶馬開發環境中的微軟Azure托管存儲服務器（也稱“存儲桶”）被配置為公共而非私有。

Yoleri補充說，該存儲桶中包含“腳本文件，其中包括Azure容器訪問信息、訪問私有存儲服務器地址的密鑰以及其他云服務的詳細信息”。

據悉，此次暴露的數據包括寶馬在中國、歐洲和美國的云服務私鑰，以及寶馬生產和開發數據庫的登錄憑證，不過目前尚不清楚具體有多少數據被暴露。同時，寶馬發言人已證實，此次數據泄露影響了基于存儲開發環境的微軟Azure存儲桶，并表示沒有客戶或個人數據因此受到影響。該發言人補充說：“寶馬集團已于2024年初修復了這一問題，我們將繼續與合作伙伴一起監控情況。”

然而，盡管寶馬公司表示已經修復了這一問題，但按照TechCrunch的報道，寶馬公司不愿說明云存儲服務器暴露事件持續了多長時間，也不愿透露被暴露的數據是否已遭惡意訪問。根據研究人員Yoleri的說法，寶馬還未撤銷或更改在被暴露的云存儲服務器中發現的密碼和憑證集。這一現狀讓人對寶馬的信息安全措施產生了深深的質疑。

就寶馬數據泄露一事，360公司創始人董事長兼CEO周鴻祎在社交平臺公開評論稱，未來企業最核心的是數字資產，近年數據泄露事件一再提醒我們數據安全建設刻不容緩。“新能源車是燒數據。未來的世界主要由數據來驅動，汽車的云端大數據系統被破壞勒索，很多車會趴窩。今天人工智能的數據訓練集被污染，最終的結果便會出現極大偏差。”

《汽車專業網》編輯注意到，就在不久前，另一家汽車巨頭奔馳也出現過類似的數據安全事故。RedHunt實驗室的研究人員在一個屬于Mercedez員工的公共倉庫中發現了一個GitHub令牌，該令牌可以訪問公司內部的GitHub企業服務器。RedHunt Labs在公告中寫道：GitHub令牌允許“不受限制”和“不受監控”地訪問托管在內部GitHub企業服務器上的全部源代碼。

這一事件直接導致存放大量知識產權的敏感存儲庫數據泄露。其中，被泄露的信息包括數據庫連接字符串、云訪問密鑰、藍圖、設計文檔、SSO密碼、API密鑰和其他敏感內部信息。

據了解，源代碼泄露可能會導致競爭對手對專有技術進行逆向工程，黑客很可能通過這種方式發現汽車系統中的潛在漏洞。

此外，API密鑰暴露可能會導致未經授權的數據訪問、服務中斷以及出于惡意目的濫用公司的基礎設施。RedHunt實驗室還提到，如果被暴露的存儲庫中包含客戶數據，則有可能觸犯法律，比如違反GDPR（《通用數據保護條例》）。不過，研究人員尚未驗證被暴露文件的內容。

對于此次事件，奔馳回復稱，目前可以確認的是人為錯誤，奔馳的內部訪問令牌的源代碼被發布到了GitHub公共倉庫上。并且該令牌允許外部人員訪問一定數量的倉庫，但不能訪問托管在內部GitHub企業服務器上的全部源代碼。現已撤銷了相應的令牌，并立即刪除了公共存儲庫，所以目前客戶數據未受影響。

事實上，除了寶馬奔馳，近年來，各大車企數據泄露事件屢見不鮮。可見，汽車產業變革之際，數據安全泄露問題日益突出。不具名汽車行業分析師認為，“隨著汽車智能化進程的推進，與汽車相關的數據類別和數量都呈現爆發式增長，因此車企和個人將面臨更大的數據安全挑戰。”