蔚來攤上事兒了。
12 月 20 日,蔚來汽車首席信息安全科學家、信息安全委員會負責人盧龍在官方社區發布公告:
在這個月 11 日的時候,蔚來公司收到外部郵件,聲稱擁有蔚來内部數據,并以洩露數據勒索 225 萬美元(1568 萬元人民币)等額比特币。
創始人李斌随即發布道歉聲明,稱 " 絕不向不法行為妥協 "。
很快,# 蔚來用戶數據遭竊取被勒索 225 萬美元 #、# 李斌緻歉 # 等詞條沖上熱搜,引起熱議。
幾天後的平安夜,即将迎來蔚來汽車的 2022 年度 NIO Day,在蔚來的官方首頁,吸睛的倒計時跳動着數字,此時此刻被推上風口浪尖的李斌,如坐針氈、如芒刺背、如鲠在喉,留給他的時間不多了。
被上了一課
事情經初步調查,蔚來被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。
一時間網友炸了鍋,有的人聲讨蔚來不保護用戶隐私安全,有的人表示網絡安全事件頻發,無奈卻理解。
為了安撫用戶情緒,20 日晚間,創始人李斌在蔚來官方社區就用戶數據洩露一事發文緻歉。
李斌表示:" 保護好用戶信息安全是我們的責任,我們沒有做好,向大家深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。我們不會與不法行為妥協,也請大家及時提供線索。"
可是據《Tech 星球》報道,針對用戶數據洩露一事,蔚來汽車客服人員表示,不會做出主動賠償,但 " 對因本次事件給用戶造成的損失承擔責任。"
劃一下重點:目前蔚來采取的做法是不主動、不負責,隻有用戶真的因為這件事造成了損失才會承擔責任。
1500 萬人民币,蔚來不想花,李斌也不想花。那怎麼辦?隻能報警了。可紙是包不住火的。
所以,據蔚來所說,12 月 11 日那一天接到了 " 恐吓信 ",公司當天即成立專項小組進行調查與應對,并第一時間向有關監管部門報告此事件。可直到一周有餘之後的 20 日,才向公衆公開此事。
兩處漏洞
數據到底是如何洩露的?是黑客攻擊,還是員工洩露?此次事件疑點重重。
" 快 2023 年了還能中勒索病毒,這 IT 得爛成啥樣?" 一網友如此評論,表示對于企業遇到黑客攻擊事件不理解。
事實上,數據洩露時時刻刻發生。根據 Identify Theft Research Center 中心的數據顯示,與 2021 年同期相比,2022 年第一季度實際報告的數據洩露事件數量增加了 14%,達到 404 起。
新能源車市場攻城容易守城難。根據乘聯會最新數據顯示,2022 年 1 月到 11 月,蔚來汽車累計銷量為 106671 台。相比去年同期,其銷量上漲了 31.8%。
然而,銷量上漲背後,一些基礎設施也許并未跟上,這才導緻蔚來被上了一課。
如果是黑客所為,那麼對方一定是掐好了時間點,特意選定的 " 良辰吉日 ",因為 12 月 24 日,年度盛典 NIO Day 就要開始了。事情還在發酵,留給蔚來的時間不多了。
曆史證明,已經有不少企業為數據洩露買單,而根源就在于 IT 系統的安全性太低。Identify Theft Research Center 數據報告提到重要的一點,數據洩露事件大多數是由網絡釣魚和勒索軟件攻擊引發的,其他還包括惡意軟件、憑證填充和不安全的雲工具。
具體案例也很多,今年一家國外企業 Beetle Eye 就發生了一起重大數據洩露事故,由于 AWS S3 存儲桶未進行任何加密且配置錯誤,洩露了大約 700 萬人的敏感數據。
還有,微軟在 2020 年公開了一起長達 14 年的數據洩露事故,期間 2.5 億條客戶服務和支持記錄在網上洩露。公司表示,個人數據在存儲之前已從記錄中删除,但一些明文電子郵件和 IP 地址被暴露。最後,微軟将其歸因于内部數據庫安全規則的錯誤配置。
還有一種可能,那就是内部管理對于數據安全的缺失,導緻内部員工有意或無意洩露。
今年 4 月,蔚來在一份内部通知中表示,2021 年 9 月 1 日風險管理部門收到相關投訴,聲稱一位員工利用職位之便,使用公司内部服務器進行了以太坊挖礦,時間長達一年以上。
蔚來強調,該行為已經違反法律,同時也對公司系統安全和業務信息安全産生了負面影響。該涉事員工已承認了自己的行為。
挖礦不僅占用 CPU 資源影響正常服務,還會産生大量的耗電。但蔚來在一年多的時間中都沒有發現這一點,足以證明其内部管理存在漏洞。
即便有了 " 前車之鑒 ",可似乎蔚來并沒有怎麼放在心上。截至「科技新知」發稿,蔚來依舊沒有找到此次數據洩露的 " 罪魁禍首 "。但可以肯定的是,無論何時,企業都不應将數據安全單純地托付給任何一款工具,小到員工培訓,大到公司的策略和管理,這些環節缺一不可。
然而,這件事情背後也映射出一個更為深刻的問題。根據網上流傳的消息,黑客向蔚來喊話:" 給了蔚來兩次機會,但是甯願花費千萬請歌手,也不願買斷這部分數據。" 這種重營銷、輕技術的商業歪風,何時才能到頭?
數據定義軟件
有些損失是不可挽回的。
自開啟交付至 2021 年 7 月,蔚來汽車共計交付 12.55 萬輛汽車。超過 12 萬車主的身份證、用戶地址,甚至車主親密關系、車主貸款數據等極為隐私的信息,都成為不法分子索要巨額錢财的籌碼。
即使蔚來認栽贖回,然而電子數據是可複制的,或許這些信息早已散落在各個隐秘的角落。
雖然,盧龍稱本次數據洩露并不影響車輛駕乘或遠程控制,不涉及車輛使用中産生的數據(如行車軌迹、座艙數據);也有分析人士表示,這次洩露的數據,大部分是存儲在後端、數據庫或者雲端的個人數據,黑客如果選擇攻擊車輛本身,還是有一定的技術門檻,而汽車本身有車載的安全網關也會進行攔截。
但是,用戶的不信任,就是一件一件小事聚沙成塔。蔚來此事,似乎又喚起了網友以及用戶對于新能源汽車的種種擔憂,更是重新挑起了新能源和燃油車兩派擁護者之間的矛盾。
" 如果數據安全都這麼水,自動駕駛不是很危險?"" 知道為啥買燃油車了吧,電車還是不成熟。" 有網友如此評論。
都說軟件能定義一切,因此這些年汽車賽道也刮起了 " 軟件定義汽車 " 的風。現如今,軟件 + 汽車還是一門好生意嗎?
看好派認為,軟件将在技術、産品、運營理念、組織架構等方面給汽車産業帶來全面改變,例如這兩年興起的 OTA,就是從軟件的邏輯出發,能使用戶從線上進行系統升級和更新。
想讓軟件發揮最大價值的前提就是收集海量數據,這些沉澱下來的數據,不僅僅是企業的資産,更是屬于整個社會的共同資産。
一旦數據管理出現問題,小則影響用戶隐私,大則威脅國家安全。因此,種種信号表明,野蠻生長的時期已經結束了,尤其是被軟件定義的新能源汽車。
去年 9 月,工信部印發了《關于加強車聯網網絡安全和數據安全工作的通知》,在加強數據安全保護、健全安全标準體系等六方面提出 17 項具體要求。
今年 4 月,工信部聯合公安部、交通運輸部等五部門聯合發布了《關于進一步加強新能源汽車企業安全體系建設的指導意見》,明确提出要對車輛網絡安全狀态進行監測,加強對車輛運行數據的分析挖掘。
可以預見的是,智能網聯汽車在中國的數據管控力度,還會進一步加大。
至于蔚來,以及其他車企,無論樂意與否,都應該盡快擺脫未成年人的心态。在沖銷量的同時,不要忘記對用戶、社會多負責。
在軟件定義一切的時代,人們想生活變得更智能,就得交出數據的管理、使用權。
去年 9 月,一位 2020 款理想 ONE 車主向媒體反應稱,理想汽車車機更新時出現的 " 理想智能系統軟件許可協議 ",隻給了同意選項,不同意協議甚至無法繼續用車。
最隐私、最珍貴的東西被别人攥在手裡,除了心裡默念 " 但願受傷的那個人不是我 " 之外,别無選擇。可是,誰又能真的逃過?
本文來自微信公衆号 " 科技新知 "(ID:kejixinzhi),作者:苌樂