全球汽车巨头Stellantis数据泄露，数百万用户信息被黑客打包带走？

麻薯滑芝士

你刚买的新车还没捂热乎，可能你的个人信息已经被黑客“开”走了。最近，全球第五大汽车制造商Stellantis摊上事了——因为合作的第三方服务平台被攻破，大量北美车主的联系信息直接被黑客组织ShinyHunters“开箱提货”。这已经不是他们第一次得手，谷歌、思科、阿迪达斯、LV集团……名单长到能列张排行榜。

说到Stellantis，可能有些小伙伴还不太熟，但提到它旗下的品牌，你肯定如雷贯耳：像吉普、阿尔法·罗密欧、菲亚特、克莱斯勒、标致、雪铁龙，还有玛莎拉蒂……没错，全是它家的。这个2021年由PSA集团和非亚特克莱斯勒合并而成的汽车巨头，在全球130多个国家卖车，工厂遍布欧、美、南美，结果这一次，却在网络安全这个“坑”里翻了车。

根据Stellantis官方发布的声明，问题出在他们用于北美客户服务支持的某个第三方平台上——黑客突破的正是这里。不过公司也赶紧安抚用户，说幸好这平台不存金融信息或者其他敏感数据，被盗的只有客户的联系方式。

他们表示：“我们发现未经授权的访问行为后，马上启动了应急响应，全面调查 + 果断控制局势，该报的警也报了，受影响的客户我们也在逐个联系。” 还顺便提醒用户：近期要是收到什么“意外”的邮件、短信、电话，别乱点链接，更别随便交出自己的个人信息。

虽然Stellantis没点名这个“第三方”到底是谁，但经BleepingComputer核实，背后就是最近频频搞事的Salesforce数据泄露事件——而这一切，都指向同一个黑客组织：ShinyHunters。

这伙人可不是什么新手。今年初开始，他们就专门盯着Salesforce的客户进行“语音钓鱼攻击”，成功黑进谷歌、思科、阿迪、澳大利亚航空、安联人寿、 Farmers保险、Workday，还有LVMH旗下的迪奥、路易威登、蒂芙尼等多家知名公司。

更让人头皮发麻的是他们的操作手法——通过窃取Salesloft公司用于Drift AI聊天集成的OAuth令牌，他们居然能一路突破权限，直接进入企业的Salesforce系统偷数据，包括密码、AWS密钥、Snowflake令牌等极度敏感的内容。

他们自己号称，用同一方法，已经从760家公司盗走了超过15亿条Salesforce记录……好家伙，这“业绩”简直能写进黑客教科书。

而Stellantis，也只是其中一家中招的企业。ShinyHunters对媒体表示，他们从Stellantis的Salesforce系统里拿到了超过1800万条记录，主要是用户的姓名和联系方式。

事情闹得这么大，连FBI都没法装看不见了。上周他们专门发布了一份紧急警报，公开相关攻击指标（IOCs），提醒企业注意黑客针对Salesforce环境的入侵行为。不过看来，提醒还是来得有点晚。

数据泄露这几年几乎成了常态，但每次巨头中招还是让人心里咯噔一下。尤其是车企——我们交出去的不只是姓名和电话，还有家庭地址、行车轨迹、甚至车载互联数据……一旦泄露，可比普通账号密码严重得多。

Stellantis这次反应算快的，也没动到金融数据，但谁又能保证下一次，黑客不会更进几步？

数字时代，我们一边享受便利，一边也在不断交出自己。或许唯一的自救方式，就是：提高警惕，能少填一栏信息，就少填一栏。