沃尔沃遭数据泄露，罪魁祸首竟是其供应商

图片

近一个月内，已有三家国际汽车制造商遭遇供应链网络攻击，沃尔沃集团北美分公司（Volvo NA）便是其中之一，其数据泄露源于第三方人力资源软件供应商的安全漏洞。

01 事件核心：第三方供应商 Miljödata 成突破口

此次事件的源头指向瑞典企业 Miljödata，该公司专注于职业软件即服务（SaaS）领域。今年 8 月，其云基础设施遭到入侵，由于采用集中式多租户架构，这一漏洞导致数百名客户及数百万个人的数据安全受到威胁。

沃尔沃集团北美分公司的母公司总部位于瑞典，该公司近期在致员工的信件中透露，自己也是受影响的客户之一。尽管沃尔沃北美分公司自身的系统未被攻击波及，但员工的姓名与社会安全号码（SSN）已被盗取，且存在被发布至暗网的风险。据其官网信息显示，沃尔沃北美分公司现有员工近 2 万名。

Radiant Logic 产品营销副总裁安德斯・阿斯卡森对此评价道：“无论是市政机构、高校，还是像沃尔沃这样的大型企业，这都不只是安全问题，更是诚信问题。人们有充分理由开始怀疑，那些处理自身最敏感数据的系统是否真的可靠。而这种信任的丧失，其危害程度不亚于数据泄露本身。”

02 Miljödata 事件：波及瑞典多领域，影响超 150 万人

Miljödata 在瑞典业务覆盖广泛，该国约 80% 的市政当局都与其有合作。该公司旗下拥有名为 “Adato” 的平台，主要用于记录和管理员工病假及康复流程。

8 月 20 日，名为 “DataCarry” 的勒索软件团伙入侵了 Miljödata 的云基础设施，三天后该公司才发现这起攻击。攻击者要求支付 1.5 枚比特币作为赎金，按文章撰写时的汇率计算，约合 16.5 万美元。9 月 12 日，攻击者警告称将把窃取的数据发布至暗网，随后几小时内便兑现了这一威胁。

由于客户通常在云端部署 Adato 等平台，所有数据均由 Miljödata 负责管理，因此此次攻击的影响范围远超该公司本身。据当地媒体报道，数所高校、至少 25 家企业、164 个市政当局以及超过 150 万个人均受到波及。

从整体情况来看，沃尔沃北美分公司的员工或许还算 “相对幸运”。其他受影响机构的员工不仅姓名和个人身份号码（相当于瑞典的社保号）遭泄露，性别、出生日期、工作详情等个人身份信息（PII），以及电话号码、家庭住址等联系方式也被曝光，其中仅电子邮件地址就多达 87.01 万个。

阿斯卡森指出，在瑞典当地，“这起数据泄露事件是近年来对瑞典公共部门破坏最严重的事件之一。当超过 100 万公民发现自己的个人身份号码、联系方式和工作记录在犯罪论坛上流传时，这会直接冲击支撑数字政府的社会契约。尤其在瑞典这样的高税收国家，公众对公共机构的信任本应是不容动摇的。”

03 供应链攻击蔓延：Stellantis 与捷豹路虎接连中招

在影响沃尔沃北美分公司的 Adato 事件发生后几周内，另外两家汽车制造巨头也遭遇了类似的供应链网络攻击。

9 月 21 日，黑客组织 “ShinyHunters” 入侵了 Stellantis 集团。该集团旗下拥有克莱斯勒、道奇、吉普等大众汽车品牌，以及阿尔法・罗密欧、玛莎拉蒂等豪华汽车品牌。黑客声称从该公司的 Salesforce 系统中窃取了客户姓名和联系方式。

更早之前的 8 月 31 日，由 ShinyHunters、Scattered Spider（分散蜘蛛）和 Lapsus集团黑客联手组成的 Hunters”（分散的 Lapsus$ 猎人），对捷豹路虎（JLR）发起攻击，迫使该公司次日暂停生产。此后数周，捷豹路虎的工厂生产线一直处于停滞状态，员工也被要求居家。直到当月月底，该公司才宣布开始分阶段恢复运营。

捷豹路虎的案例充分展现了汽车制造商遭遇网络攻击可能引发的严重后果。英国政府已介入此事，首相基尔・斯塔默向英国广播公司（BBC）表示，政府正 “全天候工作”，为众多依赖捷豹路虎生存的供应商提供支持。他强调：“我深切意识到当前局势的紧迫性，也清楚这些企业中许多正不可避免地面临困境。”

尽管沃尔沃北美分公司的运营未受影响，但阿斯卡森认为，这一事件对公司、员工乃至整个瑞典都可能产生严重后果。“对沃尔沃而言，这不仅关乎员工隐私，更关乎国家竞争力。员工身份数据泄露会带来欺诈风险，而运营或人力资源系统的安全漏洞，还会削弱人们对瑞典工业韧性的信心。要知道，汽车制造业与国家供应链及整体经济紧密相连。”