福斯汽車 Volkswagen 的一家供應商將一個系統開放了近兩年，當中暴露了 330 萬客戶的個人數據，現在這些客戶將面臨網絡釣魚、勒索軟體與汽車盜竊的風險。福斯汽車表示，此漏洞發生在 2019 年 8 月至 2021 年 5 月之間，由 TechCrunch 記者 Zack Whittaker 首先發現。

汽車製造商表示，這些數據主要是為銷售和行銷而收集的，但被福斯汽車、其奧迪子公司和授權經銷商所使用的一個供應商曝光。

對於 97% 以上的受影響客戶，第三方已經獲得了客戶和潛在買家的個人信息，包括姓名、郵遞區號、電子郵件地址以及電話號碼。其他買家或潛在買家受到的打擊更大，因為他們更多的敏感數據——社會安全號碼、出生日期和駕照號碼都儲存在資料外洩泄漏的服務器上。對於超過 97% 的人來說，被曝光的信息包括與奧迪客戶和感興趣的買家有關的聯系和車輛信息，包括部分或全部以下資訊：姓名、個人或企業郵寄地址、電子郵件地址、或電話號碼。在某些情況下，這些數據還包括購買、租賃或詢問的車輛信息，如車輛識別碼（VIN）、品牌、型號、年份、顏色和裝飾套件。對於約 9 萬名奧迪客戶或潛在客戶，這些數據還包括與購買、貸款或租賃資格有關的資料。這些資料超過 95% 都包括駕照號碼，少數記錄包括出生日期、社會安全或社會保險號碼、賬戶或貸款號碼和稅務識別號碼等數據。

福斯汽車表示，他們在 3 月 10 日首次發現這個漏洞。公司沒有解釋外洩事件，是因為供應商花了兩個月時間來保護其伺服器。但在近兩年的時間里，這些數據是否被未經授權的第三方下載，並在網上被公開，Threatpost 已聯系了福斯汽車公司，要求其對此作出解釋。JupiterOne CISO Sounil Yu 指出，此漏洞顯示了供應鏈所面對的資安問題。Yu 指出拜登總統最新的行政命令，應大力推動零信任架構。他在給 Threatpost 的一封電子郵件中建議，零信任的方法也適用於供應商。

福斯汽車並沒有公開廠商的身份，只表示已經通報執法機關和主管單位，並和外部的資安專家合作，評估事件範圍，也和廠商一起實行解決方案。

參考資料：
https://threatpost.com/vw-data-3m-audi-drivers/166892/