德国大众汽车(Volkswagen)上周通知客户,由于合作的外承包商发生长达近2年的资料安全疏忽,导致数万北美车主包括姓名、电子邮件及生日等资料外泄。
Techcrunch上周首先报道,大众汽车上周以电子邮件通知受影响的客户。
大众汽车于今年3月10日接到通知,一个奥迪、大众及美国、加拿大授权经销商使用的合作厂商系统遭未授权第三方人士访问。大众调查后证实,攻击者取得了客户、潜在客户的个人资料。
这些资料涵盖2014年到2019年的销售及营销用资料,大众汽车相信是这家厂商不慎将未做好安全防护的数据库放在网络上所致,时间点从2019年8月到2021年5月。
外泄的资料包括车主全名、个人或公司地址、电子邮件信箱或电话。其中一些还有车主购买、租用或询问的车型、包括车辆识别码(Vehicle Identification Number)、车型、年份、颜色。
此外也外泄了和购车、租车、贷款资格相关的敏感个人信息,其中95%为驾驶执照编号,Techcrunch报道这部分涉及美国、加拿大9万多笔,以及“很少部分的”客户的生日、社会安全码及社会保险号、账号、税籍编号等。
大众并未说明这家厂商身份。只表示已经通报执法机关和主管单位,并和外部安全专家著手评估事件范围,也和厂商采取解决方案。
这是近年最新一起汽车大厂资料外泄事件。2019年以来已有包括本田外泄上亿员工资料、丰田日本、澳州及越南遭黑客攻击。2018年也曾发生福特、丰田、特斯拉、大众汽车的外部自动化供应商线上数据库没有设密码的乌龙事件。今年4月美国第二大汽车保险企业Geico官网爆出有漏洞,可能允许黑客窃取客户驾照号码。