2025年9月4日,404 Media率先披露了这起震惊全球的行车记录仪数据泄露事件。随后,SecurityLab等多家网络安全媒体跟进报道,确认全球知名行车记录仪制造商Nexar遭遇重大黑客攻击,导致超过130TB的用户行车视频数据和地理位置标签遭泄露,成为近年来最大的个人数据泄露事件之一。
据404 Media获得的独家资料,黑客主动将部分文件提供给该媒体进行确认。这些视频内容极具侵入性:一位家长在车内安抚哭闹的孩子,一名男子随着收音机吹口哨,还有乘客通过Facetime进行私人通话。更令人担忧的是,部分视频记录了通往中央情报局总部的道路,以及美国国防部敏感设施附近的车辆行驶情况,这些影像资料进一步加剧了该公司本就危险的数据处理方式。
调查显示,Nexar将其行车记录仪设备宣传为"虚拟监控系统网络",每个用户的行程记录不仅供车主使用,还被纳入该公司的产品体系中,向第三方机构提供数据服务。黑客通过嵌入每台设备的密钥获得了亚马逊云存储服务的过度宽泛访问权限,不仅能够上传个人记录,还能任意下载其他用户的档案数据。
黑客向404 Media透露,入侵仅用约两小时就成功得手,并将Nexar的系统称为"隐私噩梦"。该公司在接到记者通知后才修复了这一安全漏洞。据公司联合创始人兼首席技术官Bruno Fernandez-Ruiz解释,这涉及客户的私人备份数据。
泄露的内部文件还曝光了Nexar的合作伙伴名单,包括苹果、谷歌、微软、亚马逊、交通服务公司Lyft和Waymo、《精灵宝可梦GO》开发商Niantic,以及洛杉矶和奥斯汀市政府。特别引人关注的是,以色列国防军也被列为数据接收方,尽管Nexar管理层否认与其合作。
Nexar的"Virtual Cam"服务允许用户在地图上选择特定地点,查看该地点在不同时间段的图像序列,甚至可以时间倒流功能重现历史场景。类似的"CityStream"服务则发布道路基础设施的汇总数据,这些服务本已存在隐私风险。
多家机构已就此事作出回应。微软表示曾在2023年3月前探索将图像用于地图绘制,但仅完成评估阶段;亚马逊承认几年前测试过这些数据以提高驾驶员安全性,但最终拒绝整合;苹果明确表示没有合作;谷歌虽承认使用第三方图像更新地图,但拒绝透露具体合作细节。
安全研究人员警告,即使对面部和车牌进行模糊处理,通过高密度阵列和机器学习技术仍然可以识别个人身份。在泄露的材料中,纽约警察局也被列为虚拟摄像头的接收者之一,虽然警方代表否认签订正式合同,但不排除存在非正式联系的可能。
此次事件特别令人担忧的是军事设施的图像泄露,包括驻扎B-2战略轰炸机的怀特曼空军基地和战略司令部总部所在地奥福特空军基地。一段视频显示,一辆汽车驶入中央情报局总部的车道,车主最后拆下了行车记录仪,显示出对设备安全性的担忧。
尽管Nexar方面保证遵守严格的隐私协议,不共享个人身份信息,但存储设施遭入侵、泄露规模之大以及记录中存在战略敏感内容,这些保证的有效性令人质疑。
【闲话简评】
Nexar事件警示智能网联设备正成为国家安全的新漏洞。民用车辆竟能拍摄到军事基地和情报机构等敏感区域,这些设备实质上已成为移动监控工具,存在被恶意利用的重大地缘政治风险。如何管理智能网联洗车成为重大课题!监管缺位令人担忧。急需建立智能网联设备数据采集分级分类制度,严禁收集敏感地理信息,严格管控数据出境。对涉及国家安全的数据,必须建立实时监测和阻断机制。车企须承担数据安全主体责任:建立数据采集"负面清单",禁止收集敏感区域数据;实施数据本地化存储;定期接受国家安全评估。监管部门应出台智能网联汽车数据安全管理细则,建立行业黑名单制度,对违规行为严厉处罚,构建政府监管、行业自律、企业负责的三重防护体系。
参考资源
1、https://www.securitylab.ru/news/563146.php
2、https://www.404media.co/this-company-turns-dashcams-into-virtual-cctv-cameras-then-hackers-got-in/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...