斯巴鲁被曝存在安全漏洞：通过员工网站可控制车辆，官方火速修复

最新 1 月 26 日消息，斯巴鲁近期被曝出一起严重的安全漏洞，虽然漏洞已经修复，但仍暴露了当前汽车在隐私保护方面的重大问题。

据 Engadget 昨日报道，安全研究人员 Sam Curry 和 Shubham Shah 发现，斯巴鲁的员工网页门户存在安全隐患，黑客可以通过该漏洞远程控制车辆并查看位置数据。研究人员警告称，斯巴鲁并非唯一存在车辆数据安全问题的公司，其他品牌也可能面临类似漏洞。

漏洞被发现后，斯巴鲁迅速进行修复。幸运的是，研究人员表示，漏洞修复前未曾有黑客利用该漏洞。然而，研究人员指出，斯巴鲁的授权员工依然能够通过简单的信息（最新注：如车主姓氏、邮政编码、电子邮件、电话号码或车牌号）访问车主的位置信息。

该漏洞出现在斯巴鲁名为“Starlink”的服务中。研究人员通过在领英上找到斯巴鲁员工的电子邮件地址，绕过了两个安全问题重置了密码，并绕过了双重身份验证。尽管他们追踪了测试车辆一年的位置数据，但无法确认员工是否能追溯到更早的数据。

此外，管理员门户允许研究人员远程控制车辆，包括启动、停止、锁车和解锁。然而，Curry 的母亲并未收到任何解锁通知。研究人员还能够访问车主的敏感信息，如紧急联系人、信用卡信息和车辆 PIN 码等。

斯巴鲁发言人表示，漏洞已经被修复，并强调未曾发生未经授权的数据访问。公司还指出，只有部分授权员工才能访问车主的位置信息。研究人员则表示，类似的漏洞在多个汽车品牌中普遍存在，暴露了汽车行业在数据安全和隐私保护方面的严重漏洞。