黑客瘫痪点火联锁装置，数千名DUI驾驶员被困

当合规设备成为故障点时

对于因酒后驾车而被判刑的数百万美国人来说，驾驶能力取决于安装在仪表板上的一个小盒子。点火联锁装置要求驾驶员在发动机启动前吹出清洁的呼气样本。错过校准约会、测试失败，或者——如最近数千人发现的那样——让您的提供商被黑客入侵，您就无处可去。

这正是位于Des Moines、Iowa的Intoxalock（全国最大的点火联锁供应商之一）遭受网络攻击时发生的情况。该漏洞中断了该公司的后端系统，导致客户在全国数十个州被锁在自己的车外。对许多人来说，这不仅仅是一个不便——这意味着错过工作、法庭强制的约会或医疗访问，如果他们的联锁日志显示不合规，可能会导致法律后果。

系统如何工作——以及它在哪里失败

Intoxalock设备不是孤立运作的。与大多数现代合规硬件一样，它们连接到云基础设施，该基础设施验证设备状态、处理呼吸测试结果并跟踪校准时间表。驾驶员通常必须每30到90天将设备带来校准一次。如果错过校准约会，系统将进入锁定模式——在问题解决之前，汽车将无法启动。

当Intoxalock服务器在攻击后宕机时，设备无法拨回家以确认其校准状态。对于某些客户，这会触发自动锁定。其他人发现设备的服务窗口正在关闭，且由于在线门户离线，无法安排预约。没有后端可查询，点火联锁设备默认为其最严格的状态：瘫痪。

Intoxalock设备还包括GPS日志记录，在某些州，需要驾驶员吹入管子的照片文档。所有这些数据都通过云基础设施流动。当该基础设施受到威胁时，级联效应远远超过了简单的服务中断——它们涉及法院和州车管部门依赖的法律合规记录，以确认DUI违规者正在履行其条件。

关键基础设施攻击的人力成本

根据行业数据，点火联锁计划在任何给定时间影响美国约350,000名驾驶员。加州、德州、纽约州和伊利诺伊州等州对初犯DUI有强制性点火联锁要求。遵守该设备不是可选的——未能维护运行的点火联锁可能导致驾驶执照暂停、缓刑违反或甚至再次逮捕。

这使Intoxalock的基础设施在监管意义上真正至关重要。流媒体服务的常规服务器中断令人讨厌。法院强制的合规供应商的中断可能会对已经通过司法系统并试图重建生活的弱势群体造成级联法律后果。

受影响用户的报告描述了多天试图联系Intoxalock客户服务的过程，该服务本身被激增的电话所淹没。一些用户只有在直接联系其州的车管部门以解释情况后才报告成功——这种解决方案需要导航官僚渠道，大多数人在压力下无法处理。

一个日益增长的模式：对利基关键基础设施的攻击

Intoxalock事件符合更广泛且令人担忧的趋势：勒索软件和网络攻击越来越多地针对专业合规或运营关键基础设施供应商，而不是大型企业。医疗保健提供者、水处理设施、学区和现在的DUI合规供应商都发现自己成为攻击者的靶子，这些攻击者认识到，尽管这些组织在现实世界中的影响巨大，但它们通常拥有有限的网络安全资源。

Intoxalock在被更大的汽车服务公司收购后在LifeSafer品牌旗下运营，在撰写本文时尚未公开披露攻击的性质。该公司发表声明，承认服务中断，并表示正在与网络安全专家合作以恢复运营。

该事件所明确的是，强制合规技术业务处于公共安全和私营企业的奇妙交叉点。设备由法院命令，由州监管，但由具有不同网络安全投资和危机应对能力水平的私营公司运营。

重新思考合规硬件的弹性

安全研究人员长期以来一直指出，云依赖的合规设备代表了系统性漏洞。当设备的核心功能——在本例中，允许汽车启动——依赖于可被攻击者离线的远程服务器时，故障模式不再仅仅是服务中断。它成为一个民权问题。

一些批评人士主张，点火联锁设备的安全关键功能应设计为在离线或降级模式下运行，云连接仅保留用于数据报告而不是实时运营门控。本地缓存的校准状态和定期同步的状态不会解决所有问题，但会防止此处发生的那种大规模锁定。

其他人提出了监管冗余的问题：如果供应商受到威胁，各州是否应该拥有备份授权途径，以便在主系统离线时驾驶员不会被困？

现在，由于Iowa的服务器漏洞而无法启动汽车的数千名驾驶员对物理现实如何深深依赖数字基础设施，以及当该基础设施失败时情况会多糟糕，都获得了一个不自愿的教训。

本文基于Ars Technica的报道。阅读原文。