每當有好事臨近,總會有壞事前來添堵。
12 月 20 日,蔚來首席信息安全科學家、信息安全委員會負責人盧龍在該公司官方 APP 發布聲明,對日前網絡上有人出售蔚來相關數據的情況進行了回應。
在該聲明中,蔚來承認了确實存在用戶基本信息和車輛銷售信息洩露的情況,并遭遇到了黑客約 225 萬美元的重金勒索。
而這距離蔚來年度發布會 NIO Day,僅剩下 4 天時間。
在發布聲明後,蔚來創始人、董事長兼 CEO 李斌在評論區對用戶表達了歉意,同時也聲明 " 不會與不法行為妥協 "。盧龍則進一步透露,他們正在調查數據洩露的原因和影響範圍,但 " 本次事件不涉及車輛使用中産生的數據(如行車軌迹、座艙數據)"。
誠然,蔚來的這一次用戶數據洩露又一次為車企敲響了信息安全的警鐘,然而在公開報道之外,黑客對車企數據庫的共計并不鮮見。一位在行業中多年負責信息安全業務的專業人士告訴筆者:
" 面對黑客攻擊,大多數車企都選擇直接交贖金了事,隻有蔚來這麼‘剛’。"
這一次,黑客盜走了哪些數據?
從聲明和高管回複可以看出,目前已經被确認竊取的數據,為 2021 年 8 月之前部分用戶基本信息和車輛銷售信息。然而,筆者提車的時間,恰恰就是 2021 年的 7 月 4 日。
" 這不巧了麼不是。"
所以,黑客有可能從蔚來的數據庫裡,竊取了筆者的哪些信息?
分析這個問題,我們可以從下定到購買,以及日常的使用,蔚來都從筆者這裡搜集了哪些信息入手。坦率來說,這個信息不算少。
首先,是個人基礎信息。在訂車過程中,筆者的手機号、身份證等信息已經交給了蔚來 APP 或相關工作人員。而在北京、上海等限牌城市,購買蔚來這樣的電動車,用戶還需要給廠商提交購車指标或社保卡及工作居住證等信息。
而在完成提車後,蔚來 APP 中還會搜集用戶的行駛證、車輛配置、車架号等信息。其中行駛證上關于家庭住址的信息與身份證上一緻,而發動機号、車輛 VIN 碼(每輛車的全球唯一編碼,相當于車輛身份證)等也赫然在列。
除此之外,蔚來由于是自帶 4/5G 通訊模塊的智能汽車,因此基于主管部門的要求還需要實名認證後才能使用聯網功能。為此,筆者還在蔚來 APP 進行了人臉識别 + 身份證的認證。這其中産生的數據,有沒有被偷走的可能?
此外,車主信息中還包括了緊急聯系人的姓名及電話,雲相冊(車内攝像頭拍攝的用戶合影)、車輛配置信息等等數據。
如果這些被黑客賣給了犯罪分子,其結果恐怕不容樂觀。雖然筆者向來遵紀守法,不具備罪犯們的想象力,但從此前汽車行業遭遇黑客破解的案例可以看出,車輛以及車主信息的被竊,可以給用戶造成多大的麻煩。
早在 2016 年,日産 Leaf(即東風日産的啟辰晨風)電動車就被曝出存在安全漏洞。
該漏洞存在于電動汽車的配套車載應用程序之中,黑客可以通過漏洞,在獲知車輛 VIN 碼後,對具體到某輛車的車主近期行程進行監控。更要命的是,黑客還可以通過該漏洞,遠程操控該車輛的空調、門鎖等功能。輕則讓用戶車輛因電量耗光而趴窩,重則可以用遠程開鎖将車内财物洗劫一空。
當然,此次黑客從蔚來竊取的還隻是車主數據而已,并不存在程序安全漏洞,且其具體洩露的信息種類和範圍尚未公布。
但如果有騙子從黑客手中獲得了筆者的姓名、身份證号、車牌号以及緊急聯系人的信息後,很可能就會發生 " 謊稱發生事故,要求家裡人給醫院打錢 " 的故事情節。
盡管一切還都隻是猜測,但想一想就讓人不寒而栗了。
不過根據網絡上流傳的信息,黑客從蔚來數據庫中竊取的信息不止于上述提到的車主數據。上到總裁下到一線員工和車主等各個群體的信息,黑客 " 盡在掌握 "。
這條信息的真假不論,但僅黑客的态度就讓筆者感到氣憤:就算蔚來在每年 NIO Day 上花錢去請大牌演藝明星助陣,這也是企業正常且合規合法的營銷行為。這筆錢就算再多,也和給黑客交保護費不是一個性質。既然已經在賣黑産了,又何必打出 " 替天行道 " 的招牌?
當然經此一役後,蔚來肯定意識到,除了在研發、營銷和服務上花大錢之外,數據庫的信息安全建設也不能遭遇厚此薄彼了。
黑客:如何花式勒索車企
事實上,近幾年汽車行業遭遇黑客攻擊和勒索的情況屢見不鮮。随着車輛智能化程度的不斷加深,一輛車上的弱點也越來越多。從門鎖、車機屏幕到數據後台,乃至汽車企業本身,都在成為黑客們的攻擊目标。
這樣的例子實在太多,筆者挑幾個很典型的分享給各位。這其中有大家耳熟能詳的德系豪華品牌,也有支撐起匠心日系車的世界級供應商。
首先來看奔馳。在 2019 年 8 月,來自奇虎 360 事業部 Sky-Go 的中國專家團隊專門研究了汽車黑客活動,他們發現了奔馳 E 級轎車中的 19 個漏洞,其中包括一些可以被攻擊者利用以遠程入侵車輛的問題。
據介紹,通過這些漏洞,黑客可以遠程解鎖車門并啟動國産奔馳 E 級的發動機," 僅在中國,該漏洞就可能影響 200 萬輛汽車 "。
與此同時,專家們害注意到,奔馳的後端服務器與 " Mercedes me" 移動應用程序之間缺乏身份驗證,這使用戶可以遠程控制汽車的多種功能。研究人員解釋說,一旦他們訪問了後端,就可以控制中國境内大量奔馳汽車。
當然,不幸中的萬幸是奔馳對車載互聯應用和車輛的功能安全模塊做了區隔,研究團隊無法破解被測試車輛的任何關鍵安全功能。
接着是日本電裝株式會社(Denso)遭遇黑客攻擊事件。
在今年 3 月,日媒報道稱該公司超過 15.7 萬分訂購單、電子郵件和設計圖紙等共計 1.4TB 的資料疑被洩露,并被黑客索要贖金。
雖然電裝公司發言人對此消息表示拒絕評論,但也承認該公司檢測到其位于德國的子公司在本周四遭遇過未授權登陸并使用勒索軟件。據悉,電裝公司最初由豐田汽車中獨立而來,是後者乃至多家日系車企的供應商,目前在超過 30 個國家和地區設有 170 餘家子公司。
值得一提的是,僅在半個月前另一家豐田供應商小島沖壓工業被黑客襲擊,導緻豐田汽車日本所有工廠停工一天。
而在今年 8 月,德國汽車零部件巨頭大陸集團被曝出遭遇了網絡攻擊,在拒絕支付贖金後,黑客威脅稱要将包括大陸集團預算、投資和戰略規劃,以及客戶相關信息在暗網出售。
除此之外,包括現代、起亞、沃爾沃、通用、大衆、寶馬、英偉達等汽車和供應商企業,在今年來都被曝出遭遇黑客攻擊的事件,其中不乏交過贖金後依舊遭 " 背刺 " 的醜聞。
事實上,Uber 在 2016 年 10 月就曾遭遇黑客攻擊,被竊取了 5700 萬名乘客和司機的個人數據。而在面對黑客的曝光威脅時,該公司時任首席安全官喬 · 沙利文(Joe Sullivan)和副手選擇向前者支付 10 萬美元的贖金。
更荒謬的是,優步聯合創始人、前 CEO 卡蘭尼克到了一個月之後,才知道了這件事。而喬 · 沙利文直到一年之後,才被公司開除。
盡管上述新聞都是關于國外汽車企業,但中國境内的汽車企業遭遇黑客攻擊和勒索的情況也時有發生。隻不過因為各種原因,被媒體曝光的案例并不多。事實上據筆者了解,很多車企在面對黑客勒索時,甚至傾向于采用 " 息事甯人 " 的方式,支付贖金以求低調處理。而不是像蔚來這樣,硬怼回去。
" 當然,蔚來這次被要的贖金太高,遠超行業水平。" 上述專家對筆者說道。
寫在最後
回到蔚來這次的數據洩露事件。盡管黑客從蔚來竊取用戶數據,後者存在保護不力的責任,但李斌的這番坦誠表态,的确值得肯定。
接下來蔚來要做的,便是明确到底哪些用戶的哪些數據遭遇了洩露,以及蔚來會給出怎樣的賠償方案。更重要的是,後續蔚來将在哪些方面加強信息安全建設,盡所有可能杜絕此類事件的再次發生。
不過就筆者此前與諸多信息安全行業專家的交流可知,就像世界上沒有絕對安全的保險櫃一樣,也不存在絕對安全的數據庫。隻要這個數據庫的内容需要被實時訪問、調用和修改,那麼黑客總能找到可供攻擊的漏洞。
從這個角度來講,這也許就是智能汽車的代價所在。用戶都渴望能獲得一輛越來越聰明,能夠及時乃至提前預判自己需求的汽車。但這必然意味着,我們需要将自己的社會信息、行為數據乃至生物數據交給汽車企業。而這些數據,也就同樣面對着被洩露的風險。
也就是說,用戶需要控制自己的預期,車企也要守住自己的邊界。
建立這個意識,對于我們中國人民來說尤其重要。畢竟對于很多人的心态,某個大佬有着堪稱 " 話糙理不糙 " 的經典描述: