斯巴鲁近期被曝出员工门户存在安全漏洞，研究人员发现可通过该漏洞远程控制车辆并查看位置数据。该漏洞出现在斯巴鲁的“Starlink”服务中，研究人员通过绕过安全验证，成功访问了车主的位置信息、紧急联系人、信用卡信息等敏感数据，甚至能远程控制车辆的启动、停止、锁车和解锁。尽管漏洞已被修复，且未发生黑客利用，但该事件暴露了汽车行业在数据安全和隐私保护方面存在的普遍问题，值得警惕。

🚨斯巴鲁员工门户存在安全漏洞，黑客可远程控制车辆并查看位置信息。

🔑研究人员通过在领英上找到斯巴鲁员工的电子邮件地址，绕过双重身份验证，重置密码，成功进入系统。

📍授权员工可通过简单的车主信息访问位置数据，而研究人员甚至能访问车主的敏感信息，如紧急联系人、信用卡信息和车辆PIN码。

🚗研究人员还能够远程控制车辆，包括启动、停止、锁车和解锁，但车主并未收到解锁通知。

🛡️虽然斯巴鲁已修复漏洞，并强调未发生未经授权的数据访问，但该事件揭示了汽车行业在数据安全和隐私保护方面存在的严重漏洞。

IT之家 1 月 26 日消息，斯巴鲁近期被曝出一起严重的安全漏洞，虽然漏洞已经修复，但仍暴露了当前汽车在隐私保护方面的重大问题。

据 Engadget 昨日报道，安全研究人员 Sam Curry 和 Shubham Shah 发现，斯巴鲁的员工网页门户存在安全隐患，黑客可以通过该漏洞远程控制车辆并查看位置数据。研究人员警告称，斯巴鲁并非唯一存在车辆数据安全问题的公司，其他品牌也可能面临类似漏洞。

漏洞被发现后，斯巴鲁迅速进行修复。幸运的是，研究人员表示，漏洞修复前未曾有黑客利用该漏洞。然而，研究人员指出，斯巴鲁的授权员工依然能够通过简单的信息（IT之家注：如车主姓氏、邮政编码、电子邮件、电话号码或车牌号）访问车主的位置信息。

该漏洞出现在斯巴鲁名为“Starlink”的服务中。研究人员通过在领英上找到斯巴鲁员工的电子邮件地址，绕过了两个安全问题重置了密码，并绕过了双重身份验证。尽管他们追踪了测试车辆一年的位置数据，但无法确认员工是否能追溯到更早的数据。

此外，管理员门户允许研究人员远程控制车辆，包括启动、停止、锁车和解锁。然而，Curry 的母亲并未收到任何解锁通知。研究人员还能够访问车主的敏感信息，如紧急联系人、信用卡信息和车辆 PIN 码等。

斯巴鲁发言人表示，漏洞已经被修复，并强调未曾发生未经授权的数据访问。公司还指出，只有部分授权员工才能访问车主的位置信息。研究人员则表示，类似的漏洞在多个汽车品牌中普遍存在，暴露了汽车行业在数据安全和隐私保护方面的严重漏洞。