圖片來源 @視覺中國
文 | 數智界,作者 | 辛斯基,編輯 | 賈樂樂
12 月 11 日,蔚來收到一封勒索郵件。
勒索者張口就要 225 萬美元等值比特币(約合人民币 1560 萬元),籌碼是其掌握了蔚來 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。
20 日,蔚來對外聲明:" 公司對此予以嚴厲譴責,也堅決不會向網絡犯罪行為低頭 "" 對于此次事件對用戶造成的影響深表歉意,并鄭重承諾,對因本次事件給用戶造成的損失承擔責任。"
面對有組織的數據勒索,蔚來的表态顯得異常強硬。
12 月 25 日,蔚來董事長李斌表示,2023 年,銷量目标是超過雷克薩斯燃油車銷量。據此推算,目标将設定在 20 萬輛以上。
數據洩露會對潛在車主有什麼影響?為什麼車企頻繁因為數據被勒索?在數字化、網聯化時代,車企如何保障車主的信息安全乃至駕乘安全?本文将回答這些問題。
01 為什麼車企勒索事件頻發?
車企被勒索,蔚來不是第一個,也不會是最後一個。
2016 年,Uber 被黑客竊取了 5700 萬名乘客和司機的個人數據;
2018 年網絡安全公司 UpGuard 的研究員發現包括特斯拉、豐田、大衆在内的上百家車企機密文件可以被輕松訪問;
現代、起亞、沃爾沃、通用、大衆、英偉達等汽車和供應商企業,近年來先後被曝遭遇黑客攻擊的事件;
2021 年,特斯拉陷入 " 隐私門 " 事件,一名黑客發現特斯拉車内攝像頭能清晰記錄駕乘人員的動作、姿态甚至微表情 ······
為什麼數據洩密、被勒索常常發生在車企身上?
第一,車企的數據多且極為重要。
在汽車的智能化、網聯化過程中,海量數據被上傳到雲端,雲上服務器變成了網絡攻擊的最新目标。
而對于車企來說,這些數據涉及到消費者隐私乃至行駛安全,為了品牌形象、維系客戶關系,用數據勒索幾乎等同于拿捏住了車企的七寸。
環球時報、君迪聯合調查數據顯示,受訪者中 88.4% 擔心個人信息轉賣給第三方;77.3% 擔心個人私密信息被偷拍後非法傳播或被敲詐,62.9% 擔心賬号被盜導緻私人财産受損,51.8% 擔心車輛被攻擊後失去控制權。近 9 成受訪者表示會傾向性選擇注重數據安全和保護個人敏感信息的汽車品牌。
因此,在過往發生的數據勒索中,車企鮮少像蔚來這麼剛,更多的是選擇交贖金息事甯人。
上面案例中的 Uber,事件發生後,時任首席安全官的喬 · 沙利文和副手選擇支付 10 萬美元的贖金,但最終,喬 · 沙利文被開除了。
第二,相較于暗網出售,勒索的收益高得多,黑客擔着高風險,就是為了高收益。
根據公開信息,這一次,蔚來洩露信息包括總裁在内的蔚來内部員工數據 2.28 萬條;485 萬條注冊用戶數據;近 40 萬條車主用戶身份證數據;65 萬條用戶地址數據。
其他還包括企業及企業代表聯系人數據;訂單、退單數據;車主親密關系數據;貸款數據等,并以此相要挾,向蔚來勒索 225 萬美元等額比特币。
如果勒索不成功,勒索者通常會選擇在暗網出售其所持數據。
據悉在今年 6 月,奧迪汽車 179 萬條銷售數據,在暗網标價 200 美元;8 月,德國汽車零部件巨頭大陸集團被曝遭遇網絡攻擊,在拒絕支付贖金後,黑客威脅稱要将包括大陸集團預算、投資和戰略規劃,以及客戶相關信息在暗網出售;同樣是 8 月,長安汽車 200 萬條用戶數據在 Breached Forums 上标價 2 萬美元。
當然,能勒索企業的人,基本就告别武德了,拿了贖金轉身又賣到暗網,一魚兩吃,這種事情也不是不會發生。
一面是高額的勒索金,另一面是信任問題,蔚來 " 公司賠破産也不會妥協 " 的态度也就可以理解了。
關于會不會賠到破産,參考如今更名 "Meta" 的臉書,其曾在一起隐私訴訟中,以 7.25 億美元的代價和解,蔚來對信息洩露員工、用戶的賠償金額不一定如此巨大,但李斌已經做好最壞的打算。
不過,相較于蔚來會不會賠破産,用戶更在乎的是智能車如何給用戶安全感。
02 越先進越脆弱
蔚來此次數據洩露更多關乎個人隐私。對消費者而言,汽車空間兼顧生活空間屬性,因此和手機隐私洩露相比,消費者對車内個人隐私洩露更敏感。
上文提及的調查還顯示,受訪者中,77.4% 非常介意或比較介意個人敏感信息被智能網聯汽車收集、使用和共享。
41% 的受訪者,對現階段智能汽車廣商,可以妥善保護個人敏感信息完全沒信心或信心不太足;比較有信心或者極其有信心的受訪者僅有 30.4%。
料想在這次數據勒索事件後,有信心的消費者比例還将進一步下降。
盡管蔚來首席信息安全科學家盧龍強調 " 不影響車輛的駕乘或遠程控制 "。但消費者最擔心的就是 " 常在河邊走,哪有不濕鞋 "。
消費者的擔憂并非是杞人憂天。
在車輛數字化率遠低于今天的 2015 年 7 月,一輛正在行駛的 JEEP 自由光 SUV,被兩名美國白帽黑客入侵 CAN 總線,控制車輛發動機、變速箱、制動、轉向等系統,并直接将車輛開翻到馬路邊的斜坡下。
2019 年 8 月,360 旗下的 Sky-Go 汽車威脅研究團隊,發現定位高端市場的奔馳 E 級轎車存在 19 個安全漏洞,而遠程信息控制單元 ( TCU ) 的 6 個漏洞,直接導緻黑客可以通過操作 MCU 訪問車輛 CAN 總線,從而控制車門開關甚至啟動發動機。
一個共識是,現在是軟件定義汽車的時代。軟件直接影響用戶體驗,重要性也将不斷上升。
相應地,随着車載操作系統、自動駕駛系統以及車聯網平台等技術及産品的引入,智能汽車内部的軟件将會越來越多,越來越複雜,涉及到的代碼将越來越多。
中國軟件行業協會智能網聯汽車行業分會秘書長張健曾預測,一輛 2025 年生産的智能汽車代碼量預計将達到 7 億行,相較于 2022 年将增加 2.3 倍。
有數據顯示,代碼的級别要達到 " 很好 " 和 " 優異 " 級别,每百萬代碼的缺陷或者漏洞數量要控制在 "600 — 1000" 和 "600 以下 "。如果一輛智能汽車擁有 2 億代碼,即使代碼級别達到了 " 很好 ",對應的缺陷也在 12 萬個以上,帶來的風險無法評估。
正如 360 周鴻祎所言,數字時代新的網絡威脅比過去嚴重很多,越先進就越脆弱。
此外,伴随整車數字化率越來越高,車輛對 " 雲端 " 依賴越來越高,黑客侵入移動智能終端乃至雲端後台的危險性也大幅提升。
面對車輛安全問題,特斯拉創始人馬斯克面對 360 創始人周鴻祎的詢問時回答:汽車沒有安全問題,因為不像安卓一樣可以随便下載軟件。但當周鴻祎問及車廠 OTA 服務器被挾持後怎麼辦時,馬斯克選擇了沉默。
"2022 年世界互聯網大會烏鎮峰會 " 上,周鴻祎公開表示," 大家狂吹特斯拉,說自動駕駛好,特斯拉也有雲端大腦,如果雲端大腦的數據被攻擊癱瘓了,很多智能網聯車就趴窩了。" 這也解釋了馬斯克為什麼會對 "OTA 服務器被劫持 " 問題保持沉默,因為對車企而言,OTA 服務器被劫持,等同于 " 一無所有 "。
03 數據安全是個大工程
想要确保智能車數據安全,需要從硬件到軟件、從産品到車企意識通盤考慮。
按照 360 車聯網安全首席科學家明亮所述," 智能網聯汽車是數字産業化和産業數字化的交彙地帶,實際上是軟件重新定義汽車。這改變的不隻是汽車架構也改變了安全,汽車的網絡安全和物理安全将密不可分。"
在保證物理安全上,智能汽車的趨勢更有利于提供安全服務。
以智能化率較低的自由光、奔馳 E 為例,二者均因 CAN 總線被控制導緻車輛失控,這主要是因為在 CAN 總線時代,一個節點發送信息會占據所有通信媒介,發送節點隻管自己發送,不關心誰去接收,總線上所有通信節點都會收到信息。
換言之,隻要控制了一個和 CAN 總線連接的通信節點,就能控制 CAN 總線這個車輛指揮中樞,黑客自然可以為所欲為了。
而在以太網時代,信息傳遞采取點對點方式,由此帶來的好處是計算平台更集中,可以從 CAN 總線時代的 100 多個 ECU 減少至 3-5 個 DCU,也就是經典的博世五域架構,車身域、智能座艙域(信息娛樂域)、底盤域、智能駕駛域和動力域。
特斯拉将車身域、底盤域和智能駕駛域合并為一域後,疊加智能座艙域、動力域共計三個域,車輛計算單元迅速集中,未來還将逐步進化到中央計算式。
越來越少的計算硬件,更有利于車企和安全公司提供精準的安全服務。而整車行業越來越多的數據勒索事件,則凸顯當下整車制造企業對數據安全的疏忽。
知名安全研究機構燭龍實驗室負責人李雨認為,車企應該加強安全意識的培訓;安全新産品、新技術的研究,車輛自身安全是一方面,其他應用系統的防護也必須加強,因為任何一處被攻破,最終受損失的都是用戶。
當前車企将主要精力放在車輛電子電氣架構的升級,但缺乏整體安全意識的提升。
以蘋果為例,為讓内地消費者用的放心,特意在國内建設數據中心,随後特斯拉、福特、寶馬這些汽車公司相繼宣布在内地建立數據中心,将所有國内銷售的汽車數據都保留在本土數據中心内。
蔚來雖然做到了将數據存儲在内地,也堅持自研智能駕駛系統掌握車輛控制權,但是顯然沒有進一步提升企業安全防範意識,讓勒索者有機可乘。
新京報援引網絡尖刀創始人曲子龍說法:" 本次洩露大概率是産生于蔚來公司自己的‘業務管理後台’,和以往的大部分互聯網企業數據洩露一樣,應該是某個系統存在問題導緻數據庫被 " 脫庫 "。當然到底怎麼洩露的還要以蔚來公司自己的調查結果為準。"
脫庫指的是不法分子利用網站 SQL 注入漏洞,獲取數據庫中信息,雖然是互聯網企業數據洩漏最常見的原因,卻也是難以防範的。
必須承認的是,在當前信息技術日新月異的背景下,單純依靠車企自己應付車身控制、用戶隐私數據等多維度的數據安全問題,面臨的挑戰确實非常大。
04 結語
" 汽車漏洞會永遠存在,我們隻能去防禦,在攻防的矛盾中找到最佳平衡點,保護汽車制造商的智能汽車安全,同時增加車聯網安全的競争優勢。" 中國破解特斯拉第一人劉健皓曾說。
根據中國工程院數據,僅今年上半年,針對車聯網平台的網絡惡意行為已經超過 100 萬次。
雖然大多數攻擊都被拒之門外,但伴随智能車越來越普及,車企面臨的壓力隻會越來越大。
加強企業數據安全防範,除加大研發投入外,選擇一家可靠的供應鍊企業也是最常見的辦法。以發現奔馳 E 安全漏洞的 360 為例,自 2014 年至今,與 80% 以上的主流車廠提供安全技術和服務。
數據安全領域沒有絕對的安全,但消費者交出去的隐私數據和關乎車輛控制的數據,應當被放在更高的高度。
參考文獻:
[ 1 ] 《李斌緻歉蔚來數據洩露:稱不會妥協,不影響駕乘或遠程控制》,澎湃新聞;
[ 2 ] 《除了蔚來,大多數車企都給黑客贖金了》,虎嗅;
[ 3 ] 《360 修複奔馳 19 個潛在漏洞,背後折射出什麼?》,車雲網;
[ 4 ] 《蔚來數據洩露被勒索 1500 萬 ,智能汽車安全保障挑戰重重》,懂車帝;
[ 5 ] 《蔚來陷 " 用戶數據洩露門 ",誰該為新能源汽車行業數據安全買單?》,新京報;
[ 6 ] 《域控制器,汽車電子電氣架構演進下的黃金賽道》,平安證券;
[ 7 ] 《網絡隐患堵在智能汽車起跑線上》,經濟參考報;
[ 8 ] 《新能源車深挖全生命周期價值》,新華社;
[ 9 ] 《信創落地主周期來臨,期待估值輪動修複持續》,光大證券
