点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

01

知名轮胎制造商普利司通遭网络攻击

9 月 1 日，全球轮胎制造巨头普利斯通美洲（Bridgestone Americas）确认部分美国和加拿大工厂因网络攻击而生产受阻。

公司在公告中强调，事件发生后已立即启动应急响应和内部调查，依据既定预案迅速采取控制措施，目前事件被认为已在早期得到遏制。普利斯通美洲表示，没有证据表明客户或员工数据遭到泄露。Joliette 市长 Pierre-Luc Bellerose 也公开确认，公司已保证数据安全未受损害。

02

捷豹路虎遭遇严重网络攻击，生产销售受到 “严重扰乱”

9月2日，英国豪华汽车制造商捷豹路虎公司在官网发布声明，确认于本周遭遇网络安全事件，其零售与生产运营受到 “严重扰乱”。

据悉，此次网络攻击最早于 9 月 1 日被发现。作为应对，捷豹路虎主动关闭全球部分 IT 系统，导致旗下位于英国默西塞德郡的哈利伍德工厂生产线从当天凌晨起停摆，工人居家待命。内部邮件显示，系统关闭影响后续生产安排，部分系统关闭状态延续至 9 月 3 日。同时，全球零售业务也受到显著冲击，经销商订单处理受阻。

捷豹路虎强调，截至目前未发现客户数据被盗迹象，正全力以可控方式重启全球应用程序，并深入调查此次事件。

03

网络空间部队、信息支援方队首次亮相天安门广场

9月3日，纪念中国人民抗日战争暨世界反法西斯战争胜利80周年大会在北京天安门广场隆重举行。网络空间部队方队、信息支援方队于3日上午亮相天安门广场。

这是网络空间部队领导管理关系调整后，首次接受祖国和人民检阅。

网络空间部队方队由网络空间部队牵头抽组，受阅队员参加过对抗和实兵演练。训练期间，他们叫响了“争创一流方队、锻造网空尖兵”的战斗口号。推进网络空间部队建设，大力发展网络安全防御手段，对筑牢国家网络边防，及时发现和抵御网络入侵，捍卫国家网络主权和信息安全具有重要意义。

信息支援部队方队由信息支援部队部分单位抽组而成。信息支援部队是全新打造的战略性兵种，是统筹网络信息体系建设运用的关键支撑。组建1年多来，信息支援部队坚持信息主导、联合制胜，畅通信息链路，融合信息资源，加强信息防护，深度融入全军联合作战体系，精准高效实施信息支援，服务保障各方向各领域作战任务。

04

全球知名行车记录仪制造商Nexar遇网络攻击致超过130TB的敏感数据泄露

9月4日，车载记录仪厂商Nexar遭黑客入侵，导致超过130TB的用户行车视频数据和地理位置标签遭泄露。每个用户的行程记录不仅供车主使用，还被纳入该公司的产品体系中，向第三方机构提供数据服务。黑客通过嵌入每台设备的密钥获得了亚马逊云存储服务的过度宽泛访问权限，不仅能够上传个人记录，还能任意下载其他用户的档案数据。

05

AutoSec 2025第九届中国汽车网络安全周暨第六届智能汽车数据安全展在上海成功举办

9月10-11日，由上海市普陀区科委指导、谈思实验室和谈思汽车主办的「AutoSec 2025第九届中国汽车网络安全周暨第六届智能汽车数据安全展」在上海圣诺亚皇冠假日酒店圆满落下帷幕。

本届大会以“多场景全链路”汽车安全防护为核心脉络，通过汽车网络安全和汽车软件质量两场主题峰会、40+主题演讲、AutoSec Awards 安全之星颁奖盛典、普陀沙龙、汽车黑客挑战赛、“铸盾车联”专题培训会等环节，打造了一场汽车网络安全领域的技术盛宴！并且汇聚了来自大众、宝马、奥迪、奔驰、北汽、上汽、蔚来、小鹏、小米、吉利等50余家整车企业，以及安全服务商、科技公司与监管机构的专家代表，共同探讨汽车网络与数据安全的前沿议题与实践路径。

06

六部门：开展汽车行业网络乱象整治，严打虚假宣传、黑公关

9月10日，六部门将联合开展为期3个月的汽车行业网络乱象专项整治行动，集中整治非法牟利、夸大和虚假宣传、恶意诋毁攻击等网络乱象。

专项行动明确，对于汽车行业网络水军、“黑公关”“黑嘴”及“饭圈”粉丝等行为，要深挖网络乱象背后的相关方，依法打击惩治。据了解，本次专项整治行动将集中整治非法牟利、夸大和虚假宣传、恶意诋毁攻击等网络乱象，提升涉汽车企业网络乱象处置质效，督促企业规范营销宣传行为，营造良好舆论环境，护航汽车产业高质量发展。上海：支持人工智能高性能训练、推理芯片及端侧芯片的研发应用。

07

《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》发布

9月16日，全国网络安全标准化技术委员会秘书处发布通知，正式发布《数据安全国家标准体系（2025版）》和《个人信息保护国家标准体系（2025版）》。

前者以数据为核心，以数据分类分级保护为基础，覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动，由基础共性、数据安全技术和产品、数据安全管理、数据安全服务、产品和服务数据安全、行业与应用数据安全六大类标准组成。

后者在数据安全国家标准体系的基础上，以个人信息权益保护为核心，涉及与个人信息紧密相关的组织、产品、服务、系统、活动、技术、管理等标准化对象，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理活动，保障个人信息的知情权、决定权、限制处理、拒绝处理等权利。

08

日产汽车被曝严重数据泄露！

9月16日，日产汽车公司向 BleepingComputer 证实，其子公司 Creative Box Inc. (CBI) 的服务器遭受麒麟组织的勒索软件攻击导致数据泄露，这些数据包括 3D 车辆设计模型、内部报告、财务文件、VR 设计工作流程和照片。

麒麟勒索软件于2025年8月20日在其暗网勒索门户上添加了CBI，声称窃取了所有设计项目，并威胁将其公开，为竞争对手提供优势。攻击者还发布了 16 张被盗数据的照片作为其主张的证据，这些数据描绘了车辆3D设计图、财务运营表格、汽车内饰渲染图和VR设计工作场景。此类文件若属实，可能为竞争对手或仿制者提供窥探日产设计流程的关键信息。

对于此次数据泄露事件，日产发言人表示：“CBI 立即采取紧急措施，例如阻止所有服务器访问，以降低风险，并将此事件报告给警方。”此外，日产还澄清表示，日产是 CBI 的唯一客户，因此，被盗数据不会危及客户、承包商或日产以外的任何其他公司或个人。

09

因电子车门把手失灵安全隐患，特斯拉Model Y被调查

9月16日，美国国家公路交通安全管理局对约17.4万辆2021款特斯拉Model Y展开安全调查，主要问题为电子车门把手失灵，可能导致用户被锁在车外，构成安全隐患。

多起报告显示，该车型车门无法从外部打开，导致儿童被困车内，情况十分危急。具体问题，车辆外部电子门把手因低压电池供电不足无法解锁，导致用户被锁车外。

9月17日，特斯拉设计总监Franz von Holzhausen在接受彭博采访时表示，特斯拉正在重新设计其饱受安全争议的车门把手系统。新设计旨在让乘客在"紧急情况下"更直观地操作车门。这一改进回应了监管部门对特斯拉车门安全性的关切。

10

工业和信息化部公开征求《智能网联汽车组合驾驶辅助系统安全要求》强制性国家标准的意见

9月17日，工业和信息化部网站正式就《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准公开征求意见。征求意见截止日期为2025年11月15日。

该标准与UN R171《关于批准车辆驾驶员控制辅助系统(DCAS)统一规定》等国际标准规协调接轨，并紧密结合中国复杂道路交通场景，充分考虑了本土实际道路交通环境以及系统的实际安全需要。

与UN R171标准相比，我国的标准特别新增车端数据记录相关要求，明确数据记录内容、数据元素、数据存储方式及读取规范等，为交通事故的调查分析提供准确的数据支撑，更符合国内交通管理的实际需要。

11

宝马集团疑遭Everest勒索软件攻击致大量敏感数据被窃取

9月18日，Everest勒索软件团伙近日将宝马汽车集团列为高价值目标，声称已从这家德国汽车制造商窃取大量关键内部文件。据披露信息显示，Everest宣称已窃取多达60万行宝马敏感内部数据，目前正以公开曝光相要挟进行勒索谈判。

以跨行业攻击闻名的 Everest 在其数据泄露网站上公布了宝马相关信息，并附有倒计时器，暗示在机密文件公开前留给企业的谈判时间有限。网站专门设有"宝马关键审计文件"板块，并向宝马代表发布紧急通知，通过设置时间敏感的最后期限来强调事态紧迫性。

12

汽车制造企业斯泰兰蒂斯的第三方服务提供商平台遭未经授权访问致客户信息被窃取

9月23日，汽车制造企业斯泰兰蒂斯（Stellantis）在一份发布于美国密歇根州当地时间21日的公告中确认，该企业最近检测到支持其北美客户服务运营的第三方服务提供商平台遭遇未经授权访问。

声明提到，泄露的信息为“联系方式”，但Stellantis（斯泰兰蒂斯）发言人并未回应关于具体泄露了哪些类型客户数据的询问。Stellantis（斯泰兰蒂斯）也并未透露有多少客户被通知其信息已被盗。

据媒体报道报道，Stellantis（斯泰兰蒂斯）此次数据泄露与其Salesforce（赛富时）数据库被黑有关。据称，黑客从数据库中窃取了1800万条客户记录。

13

沃尔沃北美供应商遭勒索攻击致87万账户数据泄露

9 月 24 日，沃尔沃向马萨诸塞州总检察长办公室提交了一份正式的违规通知，称攻击者通过 Miljödata 被入侵的系统而不是沃尔沃的内部网络访问了员工记录。

Miljödata 事件始于 2025 年 8 月 23-24 日的周末，当时该供应商的系统离线，许多瑞典客户报告服务中断。早期报告者隆德大学后来证实，约有 16,000 名现任和前任员工的个人数据被泄露。 个人数据的个人数据受到影响。

沃尔沃在马萨诸塞州提交的文件中指出，可能暴露的个人信息包括一些人的姓氏和名字以及社会安全号码；文件中没有给出受影响的沃尔沃员工的确切人数。沃尔沃声称，它正在通知受影响的员工，并提供身份保护服务，同时它和 Miljödata 正在调查此事。

沃尔沃在信中表示，公司将为受影响的员工提供 12 个月的免费身份盗用保护和信用监控服务，并提供专门的支持热线，以打击潜在的欺诈或滥用个人数据的行为。

14

工信部公开征求《汽车车门把手安全技术要求》强制性国家标准及三项强制性国家标准修改单的意见

9 月 24 日，按照《中华人民共和国标准化法》和《强制性国家标准管理办法》，工业和信息化部装备工业一司组织全国汽车标准化技术委员会开展了《汽车车门把手安全技术要求》强制性国家标准及三项强制性国家标准修改单的制修订，已形成征求意见稿，现公开征求社会各界意见。征求意见截止日期为2025年11月22日。

15

特斯拉车载通信单元存在安全漏洞致Root权限执行代码可被攻击者获取

9月30日，特斯拉车载通信单元（TCU）存在安全漏洞，攻击者通过物理接触可绕过安全措施获取完整的root级别代码执行权限。根据NCC Group报告，该漏洞存在于特斯拉v12（2025.2.6）固件版本中。虽然特斯拉在生产设备上实施了阻止通过adb shell直接获取shell访问的逻辑，但研究人员发现这种锁定并不充分。

该漏洞未能阻止两个关键的ADB功能：一是使用adb pull和adb push以root用户身份读写文件的能力；二是使用adb forward转发网络流量的能力。

由于TCU上的ADB进程（adbd）以root权限运行，这些疏忽形成了强大的攻击向量。

16

雷诺汽车因第三方数据供应商遭黑客攻击致客户信息被泄露

10月7日，英国雷诺汽车表示因其第三方数据提供商遭遇黑客入侵，部分客户的个人数据（客户姓名、地址、出生日期、性别、电话号码、车辆识别码及车辆登记详细信息）遭到访问，但财务信息和密码均未泄露。

另一位发言人补充称：“第三方供应商已确认此次事件为独立个案且得到控制，我们正与其协作以确保采取一切必要措施。目前已通知所有相关主管部门。”

雷诺公司证实，雷诺集团英国的系统尚未受到损害，目前公司确认正在联系所有受影响的客户，并建议他们“警惕任何主动索取个人信息的请求”。

17

中国牵头，国际标准《智能出行服务安全与隐私》立项！

10月13日，国家市场监管总局日前发文称，近日，由我国牵头提出的《智能出行服务安全与隐私》国际标准提案，在网络安全国际标准组织（ISO / IEC JTC1 / SC27）成功立项，获得德国、法国、印度等多国支持。该提案的立项，标志着全球首个聚焦智能出行领域的隐私保护国际标准正式启动制定。

作为针对性解决行业痛点的标准规范，该标准立足智能出行的技术路线与产业现状，适用于网约车、分时租赁、车载OS、智慧停车等全部“车轮上的数据服务”。

核心框架包括，明确驾驶员、乘客、服务提供者等相关方的权责边界，梳理位置信息、行程记录、支付数据等敏感信息的采集、传输、存储全流程，并针对性提出数据加密、访问控制、匿名化处理等安全技术要求。

这些规范将为全球出行领域标准化发展提供关键指引，有效破解当前行业数据滥用、隐私泄露等突出问题。

18

大众汽车遭8Base勒索团伙攻击，敏感数据疑遭窃取

10月19日，大众汽车集团已就勒索团伙8Base的数据窃取声明发布公告，该团伙声称于2024年9月对这家全球汽车制造商实施重大入侵，窃取并威胁泄露大量敏感文件，包括发票、收据、会计记录、员工个人档案、雇佣合同、证书、人事记录及保密协议，涉及奥迪、保时捷等多个品牌。

大众汽车确认知悉事件，但坚称核心I系统未受影响，暗示可能通过供应商或合作伙伴等第三方遭入侵，其模棱两可回应引发对数据泄露完整范围的质疑。安全专家指出8Base以Phobos勒索软件和双重勒索策略闻名，专注于数据窃取而非加密，已攻击超400家机构，通常通过钓鱼或凭证购买方式入侵。

若泄露属实，大众可能依据欧盟GDPR面临高额罚款，事件凸显汽车行业供应链安全薄弱环节及日益严峻的网络威胁。

19

网络安全法完成修改，2026年1月1日起施行

10月28日，十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，自2026年1月1日起施行。

2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。

回应人工智能治理和促进发展的需要，修改后的网络安全法明确，国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

20

摩托车也正式纳入R155网络安全法规！

10月29日，欧盟委员会官方正式颁布了(EU) No 44/2014修订法规(EU) 2025/1455，标志着根据(EU) No 168/2013框架法规进行的欧盟L类摩托车整车型式认证也强制满足网络安全CSMS体系认证和车辆网络安全VTA型式认证。