“不要让智能汽车去‘裸奔’。”今年两会，360集团董事长兼CEO周鸿祎谈起智能汽车提到的最重要的问题是安全。让出行更加便利的智能网联汽车安全状况到底如何？实际上，2018年几乎可以称为智能网联汽车的“刷漏洞”年。3月20日，360发布《2018年智能网联汽车信息安全年度报告》，从行业发展、安全标准规范、安全事件以及2019年发展建设建议等方面，对智能网联汽车信息安全做了全面梳理。

    “刷漏洞年”——2018全年爆发14次智能汽车信息安全事件

今年两会，周鸿祎等互联网大佬的两会提案都聚焦智能汽车，技术的发展推动互联网和汽车行业的逐渐融合，智能网联汽车正在成为主流。360在去年的报告中预测，汽车信息安全将进入“刷漏洞”时代。不幸的是这个说法被言中了，过去的一年里很多汽车厂商惨遭漏洞威胁，越来越多汽车相关的漏洞取得了CVE编号，攻击面从汽车终端转向了云端，对汽车厂商及供应商造成了极大的影响，暴露出来的问题层出不穷。

《报告》盘点了2018年发生的14起智能网联汽车信息安全事件，其中包括5起数据泄露事件和9起汽车破解事件。以数据泄露为例，2018年7月，包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。其涉及内容从车厂发展蓝图规划、工厂原理、制造细节，到客户合同材料、工作计划，再到各种保密协议文件，甚至员工的驾驶证和护照的扫描件等隐私信息，共计157千兆字节，包含近47,000个文件。

这起事件背后主角是这些车厂共同的服务器供应商，其在使用远程数据同步工具rsync处理数据时，备份服务器没有限制使用者的IP地址，让非指定客户端也能连接，并且未设置身份验证等用户访问权限，比如客户端在接收信息前进行身份验证等，任何人都能直接通过rsync访问备份服务器，这是这起事件的主要原因。