1000萬輛汽車VIN識別碼數(shù)據(jù)被泄,小心買到克隆車!

責(zé)任編輯:editor004

2017-06-13 11:42:59

摘自:E安全

目前已經(jīng)發(fā)現(xiàn)一個汽車數(shù)據(jù)庫被泄露至網(wǎng)絡(luò)當中,數(shù)據(jù)庫囊括美國本土出售的上千萬輛汽車以及相關(guān)購買者的個人信息。

目前已經(jīng)發(fā)現(xiàn)一個汽車數(shù)據(jù)庫被泄露至網(wǎng)絡(luò)當中,數(shù)據(jù)庫囊括美國本土出售的上千萬輛汽車以及相關(guān)購買者的個人信息。受這起泄露影響的汽車經(jīng)銷商包括Acura(謳歌)、BMW(寶馬)、 Chrysler(克萊斯勒)、Honda(本田)、 Hyundai(現(xiàn)代)、 Infiniti(英菲尼迪)、 Jeep(吉普)、 Kia(起亞)、 Mini(迷你)、 Mitsubishi(三菱)、Nissan(尼桑)、Porsche(保時捷) 和Toyota(豐田)。

1000萬輛汽車VIN識別碼數(shù)據(jù)被泄,小心買到克隆車!-E安全

這套未受保護的數(shù)據(jù)庫由Kromtech安全研究中心的研究人員們所發(fā)現(xiàn),其中共包含以下三組數(shù)據(jù):
●車輛細節(jié)信息:車輛識別編碼(簡稱VIN)、制造商、型號、型號年份、車輛顏色、里程數(shù)等。
●銷售細節(jié)信息:VIN、里程表、銷售總額、付款方式、每月付款金額、購買價格、支付方式等。
●客戶細節(jié)信息:全名、地址、手機/家庭/工作電話、電子郵件、出生日期、性別、職業(yè)等。

1000萬輛汽車VIN識別碼數(shù)據(jù)被泄,小心買到克隆車!-E安全

  E安全百科:什么是汽車VIN碼?  

VIN是英文Vehicle Identification Number(車輛識別碼)的縮寫。因為SAE標準(美國機動車工程師學(xué)會)規(guī)定:VIN碼由17位字符組成,所以俗稱十七位碼。它包含了車輛的生產(chǎn)廠家、年代、車型、車身型式及代碼、發(fā)動機代碼及組裝地點等信息。正確解讀VIN碼,對于我們正確地識別車型,以致進行正確地診斷和維修都是十分重要的。
  

Kromtech公司首席溝通官鮑勃·迪亞琴科指出,該數(shù)據(jù)庫似乎屬于一整套來自美國各大型與小型汽車經(jīng)銷商的銷售數(shù)據(jù)集合。
他同時補充稱,“這套數(shù)據(jù)庫已經(jīng)擁有超過137天的網(wǎng)絡(luò)傳播時長。安全研究人員們目前尚未確定該數(shù)據(jù)庫的所有者,但已經(jīng)提醒各涉事經(jīng)銷商與潛在數(shù)據(jù)擁有者與其進行聯(lián)系。”

犯罪分子能夠利用這些數(shù)據(jù)達成哪些目的?

迪亞琴科解釋稱,“高水平犯罪分子現(xiàn)在已經(jīng)建立起一種將偷車等傳統(tǒng)離線犯罪與技術(shù)手段相結(jié)合的途徑。犯罪分子現(xiàn)在正利用泄露或者遭遇竊取的數(shù)據(jù)獲取車輛的惟一標識,而后‘克隆’其VIN以幫助被盜車輛獲得合法身份。”

1000萬輛汽車VIN識別碼數(shù)據(jù)被泄,小心買到克隆車!-E安全

“犯罪分子們首先選定其想要盜竊的車型,而后利用VIN數(shù)據(jù)庫制作一套新的VIN號碼并創(chuàng)建一個假名。一旦其從車輛數(shù)據(jù)庫當中獲得被盜汽車的信息以及真實車身編號,即可將車賣給毫無戒心的買家。受害者可能無法立即意識到這是一輛贓車——直到犯罪分子早已帶著售車款遠走高飛,再也無法被追回。”

過去十年,偷車賊一直在使用被盜的VIN碼“合法”買賣被盜車輛,F(xiàn)BI將其稱之為“汽車克隆”。

汽車克隆”如何實現(xiàn)?

FBI對“汽車克隆”運作方式解釋如下:
偷車之后,竊賊會前往鄰近的州尋找一家較大的汽車經(jīng)銷商,并尋找被盜車輛的確切品牌和型號(甚至相同的顏色)。
之后,他們會記下儀表板上方的VIN碼。
接下來,他們會制作新的VIN標簽,用新標簽替代舊VIN碼。“克隆”汽車就此誕生:兩輛不同的車,卻擁有相同的VIN碼。
最后,竊賊通過偽造方式獲取相關(guān)文件。之后,竊賊會出售這輛“克隆”車,甚至絲毫不會讓買方起疑心,因為看起來車輛經(jīng)合法注冊,也未被爆出被盜的相關(guān)信息,因此,可謂設(shè)計得天衣無縫。
1000萬輛汽車VIN識別碼數(shù)據(jù)被泄,小心買到克隆車!-E安全

創(chuàng)建備份鑰匙

掌握車輛VIN也可能允許犯罪分子為其創(chuàng)建鑰匙備份,從而在無需入侵車輛系統(tǒng)的前提下將其偷走。過去三年以來,蒂華納摩托車俱樂部的成員利用這種特殊方法竊取到多臺吉普牧馬人。
犯罪分子此前并沒有從數(shù)據(jù)庫中獲取VIN,而只是直接從車輛儀表板上進行讀取。
在最近的公開起訴書中,檢方解釋稱“偵察人員會將VIN發(fā)送給團伙頭目,后者再將VIN發(fā)送給鑰匙制造者。通過未經(jīng)授權(quán)的專有數(shù)據(jù)庫訪問操作,鑰匙制造者能夠提供適用于吉普牧馬人車型的鑰匙代碼副本以借此騙過車型的身份驗證機制,同時附帶另一份代碼片段——后者用于對車輛微芯片進行編程。”
就在去年,安全研究人員特洛伊-漢特(Troy Hunt)展示了一項可用于同日產(chǎn)聆風(fēng)車型(一款高人氣電動車)進行交互的移動應(yīng)用漏洞,未經(jīng)身份驗證的遠程攻擊者可以利用此項安全漏洞開啟并關(guān)閉汽車的脽懷加熱系統(tǒng)。要實現(xiàn)這項攻擊,惡意人士只需要掌握目標車輛的VIN即可。

數(shù)據(jù)安全的重要性

此次泄露事件對專家而言已不是什么值得驚訝的事情,因為專家長期以來就警告稱,網(wǎng)絡(luò)犯罪分子對客戶的數(shù)據(jù)庫尤為青睞。專家建議組織機構(gòu)專注數(shù)據(jù)保護技術(shù),防止欺詐分子竊取數(shù)據(jù),并防止意外數(shù)據(jù)泄露事件。

網(wǎng)絡(luò)犯罪正變得日益狡詐。此報道再次向汽車經(jīng)銷商敲響警鐘,經(jīng)銷商應(yīng)竭力保護數(shù)據(jù)安全。

迪亞琴科在Have I Been Pwned(HIBP)提供了被泄數(shù)據(jù)庫副本,以便美國車主前往該網(wǎng)站查詢自己的信息是否被泄,車主可以通過姓名、電子郵箱或其它詳情查看自己的汽車VIN是否被泄。

車主如何預(yù)防?

幾乎沒有車輛能免除被盜的風(fēng)險。但是車主可以適當降低風(fēng)險,例如:

將車鎖好;

將車停在光線好的地方;

遮住儀表板上方的VIN碼;

使用防盜警報和其它安全措施。

如果擔(dān)心買到“克隆”車,E安全建議搜索查看VIN。此外,用戶還應(yīng)謹慎所謂的“優(yōu)惠交易”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號