1000萬輛汽車VIN識別碼數據被泄，小心買到克隆車！

E安全6月13日訊
目前已經發現一個汽車資料庫被泄露至網路當中，資料庫囊括美國本土出售的上千萬輛汽車以及相關購買者的個人信息。受這起泄露影響的汽車經銷商包括Acura(謳歌)、BMW（寶馬）、
Chrysler（克萊斯勒）、Honda（本田）、 Hyundai（現代）、 Infiniti（英菲尼迪）、 Jeep（吉普）、
Kia（起亞）、 Mini（迷你）、 Mitsubishi（三菱）、Nissan（尼桑）、Porsche（保時捷） 和Toyota（豐田）。

本文系E安全獨家編譯報道

這套未受保護的資料庫由Kromtech安全研究中心的研究人員們所發現，其中共包含以下三組數據：

●車輛細節信息:車輛識別編碼（簡稱VIN）、製造商、型號、型號年份、車輛顏色、里程數等。

●銷售細節信息:VIN、里程錶、銷售總額、付款方式、每月付款金額、購買價格、支付方式等。

●客戶細節信息:全名、地址、手機/家庭/工作電話、電子郵件、出生日期、性別、職業等。

本文系E安全獨家編譯報道

E安全百科：什麼是汽車VIN碼？

VIN是英文Vehicle Identification
Number（車輛識別碼）的縮寫。因為SAE標準(美國機動車工程師學會)規定：VIN碼由17位字元組成，所以俗稱十七位碼。它包含了車輛的生產廠家、年代、車型、車身型式及代碼、發動機代碼及組裝地點等信息。正確解讀VIN碼，對於我們正確地識別車型，以致進行正確地診斷和維修都是十分重要的。

Kromtech公司首席溝通官鮑勃·迪亞琴科指出，該資料庫似乎屬於一整套來自美國各大型與小型汽車經銷商的銷售數據集合。

他同時補充稱，「這套資料庫已經擁有超過137天的網路傳播時長。安全研究人員們目前尚未確定該資料庫的所有者，但已經提醒各涉事經銷商與潛在數據擁有者與其進行聯繫。」

犯罪分子能夠利用這些數據達成哪些目的？

迪亞琴科解釋稱，「高水平犯罪分子現在已經建立起一種將偷車等傳統離線犯罪與技術手段相結合的途徑。犯罪分子現在正利用泄露或者遭遇竊取的數據獲取車輛的惟一標識，而後『克隆』其VIN以幫助被盜車輛獲得合法身份。」

本文系E安全獨家編譯報道

「犯罪分子們首先選定其想要盜竊的車型，而後利用VIN資料庫製作一套新的VIN號碼並創建一個假名。一旦其從車輛資料庫當中獲得被盜汽車的信息以及真實車身編號，即可將車賣給毫無戒心的買家。受害者可能無法立即意識到這是一輛贓車——直到犯罪分子早已帶著售車款遠走高飛，再也無法被追回。」

過去十年，偷車賊一直在使用被盜的VIN碼「合法」買賣被盜車輛，FBI將其稱之為「汽車克隆」。

「汽車克隆」如何實現？

FBI對「汽車克隆」運作方式解釋如下：

? 偷車之後，竊賊會前往鄰近的州尋找一家較大的汽車經銷商，並尋找被盜車輛的確切品牌和型號（甚至相同的顏色）。

?之後，他們會記下儀錶板上方的VIN碼。

? 接下來，他們會製作新的VIN標籤，用新標籤替代舊VIN碼。「克隆」汽車就此誕生：兩輛不同的車，卻擁有相同的VIN碼。

? 最後，竊賊通過偽造方式獲取相關文件。之後，竊賊會出售這輛「克隆」車，甚至絲毫不會讓買方起疑心，因為看起來車輛經合法註冊，也未被爆出被盜的相關信息，因此，可謂設計得天衣無縫。

本文系E安全獨家編譯報道

創建備份鑰匙

掌握車輛VIN也可能允許犯罪分子為其創建鑰匙備份，從而在無需入侵車輛系統的前提下將其偷走。過去三年以來，蒂華納摩托車俱樂部的成員利用這種特殊方法竊取到多台吉普牧馬人。

犯罪分子此前並沒有從資料庫中獲取VIN，而只是直接從車輛儀錶板上進行讀取。

在最近的公開起訴書中，檢方解釋稱「偵察人員會將VIN發送給團伙頭目，後者再將VIN發送給鑰匙製造者。通過未經授權的專有資料庫訪問操作，鑰匙製造者能夠提供適用于吉普牧馬人車型的鑰匙代碼副本以藉此騙過車型的身份驗證機制，同時附帶另一份代碼片段——後者用於對車輛微晶元進行編程。」

就在去年，安全研究人員特洛伊-漢特（Troy

Hunt）展示了一項可用於同日產聆風車型（一款高人氣電動車）進行交互的移動應用漏洞，未經身份驗證的遠程攻擊者可以利用此項安全漏洞開啟並關閉汽車的脽懷加熱系統。要實現這項攻擊，惡意人士只需要掌握目標車輛的VIN即可。

數據安全的重要性

此次泄露事件對專家而言已不是什麼值得驚訝的事情，因為專家長期以來就警告稱，網路犯罪分子對客戶的資料庫尤為青睞。專家建議組織機構專註數據保護技術，防止欺詐分子竊取數據，並防止意外數據泄露事件。

網路犯罪正變得日益狡詐。此報道再次向汽車經銷商敲響警鐘，經銷商應竭力保護數據安全。

迪亞琴科在Have I Been Pwned（HIBP）提供了被泄資料庫副本，以便美國車主前往該網站查詢自己的信息是否被泄，車主可以通過姓名、電子郵箱或其它詳情查看自己的汽車VIN是否被泄。

車主如何預防？

幾乎沒有車輛能免除被盜的風險。但是車主可以適當降低風險，例如：

• 將車鎖好；

• 將車停在光線好的地方；

• 遮住儀錶板上方的VIN碼；

• 使用防盜警報和其它安全措施。

如果擔心買到「克隆」車，專家建議搜索查看VIN。此外，用戶還應謹慎所謂的「優惠交易」。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！