出品丨虎嗅汽车组
作者丨周到
编辑丨张博文
头图丨视觉中国
每当有好事临近,总会有坏事前来添堵。
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方APP发布声明,对日前网络上有人出售蔚来相关数据的情况进行了回应。在该声明中,蔚来承认了确实存在用户基本信息和车辆销售信息泄露的情况,并遭遇到了黑客约225万美元的重金勒索。
而这距离蔚来年度发布会NIO Day,仅剩下4天时间。
在发布声明后,蔚来创始人、董事长兼CEO李斌在评论区对用户表达了歉意,同时也声明“不会与不法行为妥协”。卢龙则进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。
诚然,蔚来的这一次用户数据泄露又一次为车企敲响了信息安全的警钟,然而在公开报道之外,黑客对车企数据库的共计并不鲜见。一位在行业中多年负责信息安全业务的专业人士告诉笔者:
“面对黑客攻击,大多数车企都选择直接交赎金了事,只有蔚来这么‘刚’。”
这一次,黑客盗走了哪些数据?
从声明和高管回复可以看出,目前已经被确认窃取的数据,为2021年8月之前部分用户基本信息和车辆销售信息。然而,笔者提车的时间,恰恰就是2021年的7月4日。
“这不巧了么不是。”
所以,黑客有可能从蔚来的数据库里,窃取了笔者的哪些信息?
分析这个问题,我们可以从下定到购买,以及日常的使用,蔚来都从笔者这里搜集了哪些信息入手。坦率来说,这个信息不算少。
首先,是个人基础信息。在订车过程中,笔者的手机号、身份证等信息已经交给了蔚来APP或相关工作人员。而在北京、上海等限牌城市,购买蔚来这样的电动车,用户还需要给厂商提交购车指标或社保卡及工作居住证等信息。
而在完成提车后,蔚来APP中还会搜集用户的行驶证、车辆配置、车架号等信息。其中行驶证上关于家庭住址的信息与身份证上一致,而发动机号、车辆VIN码(每辆车的全球唯一编码,相当于车辆身份证)等也赫然在列。
除此之外,蔚来由于是自带4/5G通讯模块的智能汽车,因此基于主管部门的要求还需要实名认证后才能使用联网功能。为此,笔者还在蔚来APP进行了人脸识别+身份证的认证。这其中产生的数据,有没有被偷走的可能?
此外,车主信息中还包括了紧急联系人的姓名及电话,云相册(车内摄像头拍摄的用户合影)、车辆配置信息等等数据。如果这些被黑客卖给了犯罪分子,其结果恐怕不容乐观。虽然笔者向来遵纪守法,不具备罪犯们的想象力,但从此前汽车行业遭遇黑客破解的案例可以看出,车辆以及车主信息的被窃,可以给用户造成多大的麻烦。
早在2016年,日产Leaf(即东风日产的启辰晨风)电动车就被曝出存在安全漏洞。该漏洞存在于电动汽车的配套车载应用程序之中,黑客可以通过漏洞,在获知车辆VIN码后,对具体到某辆车的车主近期行程进行监控。更要命的是,黑客还可以通过该漏洞,远程操控该车辆的空调、门锁等功能。轻则让用户车辆因电量耗光而趴窝,重则可以用远程开锁将车内财物洗劫一空。
当然,此次黑客从蔚来窃取的还只是车主数据而已,并不存在程序安全漏洞,且其具体泄露的信息种类和范围尚未公布。但如果有骗子从黑客手中获得了笔者的姓名、身份证号、车牌号以及紧急联系人的信息后,很可能就会发生“谎称发生事故,要求家里人给医院打钱”的故事情节。
尽管一切还都只是猜测,但想一想就让人不寒而栗了。
不过根据网络上流传的信息,黑客从蔚来数据库中窃取的信息不止于上述提到的车主数据。上到总裁下到一线员工和车主等各个群体的信息,黑客“尽在掌握”。
这条信息的真假不论,但仅黑客的态度就让笔者感到气愤:就算蔚来在每年NIO Day上花钱去请大牌演艺明星助阵,这也是企业正常且合规合法的营销行为。这笔钱就算再多,也和给黑客交保护费不是一个性质。既然已经在卖黑产了,又何必打出“替天行道”的招牌?
当然经此一役后,蔚来肯定意识到,除了在研发、营销和服务上花大钱之外,数据库的信息安全建设也不能遭遇厚此薄彼了。
黑客:如何花式勒索车企
事实上,近几年汽车行业遭遇黑客攻击和勒索的情况屡见不鲜。随着车辆智能化程度的不断加深,一辆车上的弱点也越来越多。从门锁、车机屏幕到数据后台,乃至汽车企业本身,都在成为黑客们的攻击目标。
这样的例子实在太多,笔者挑几个很典型的分享给各位。这其中有大家耳熟能详的德系豪华品牌,也有支撑起匠心日系车的世界级供应商。
首先来看奔驰。在2019年8月,来自奇虎360事业部Sky-Go的中国专家团队专门研究了汽车黑客活动,他们发现了奔驰E级轿车中的19个漏洞,其中包括一些可以被攻击者利用以远程入侵车辆的问题。据介绍,通过这些漏洞,黑客可以远程解锁车门并启动国产奔驰E级的发动机,“仅在中国,该漏洞就可能影响200万辆汽车”。
与此同时,专家们害注意到,奔驰的后端服务器与“ Mercedes me”移动应用程序之间缺乏身份验证,这使用户可以远程控制汽车的多种功能。研究人员解释说,一旦他们访问了后端,就可以控制中国境内大量奔驰汽车。
当然,不幸中的万幸是奔驰对车载互联应用和车辆的功能安全模块做了区隔,研究团队无法破解被测试车辆的任何关键安全功能。
接着是日本电装株式会社(Denso)遭遇黑客攻击事件。在今年3月,日媒报道称该公司超过15.7万分订购单、电子邮件和设计图纸等共计1.4TB的资料疑被泄露,并被黑客索要赎金。虽然电装公司发言人对此消息表示拒绝评论,但也承认该公司检测到其位于德国的子公司在本周四遭遇过未授权登陆并使用勒索软件。据悉,电装公司最初由丰田汽车中独立而来,是后者乃至多家日系车企的供应商,目前在超过30个国家和地区设有170余家子公司。
值得一提的是,仅在半个月前另一家丰田供应商小岛冲压工业被黑客袭击,导致丰田汽车日本所有工厂停工一天。
而在今年8月,德国汽车零部件巨头大陆集团被曝出遭遇了网络攻击,在拒绝支付赎金后,黑客威胁称要将包括大陆集团预算、投资和战略规划,以及客户相关信息在暗网出售。
除此之外,包括现代、起亚、沃尔沃、通用、大众、宝马、英伟达等汽车和供应商企业,在今年来都被曝出遭遇黑客攻击的事件,其中不乏交过赎金后依旧遭“背刺”的丑闻。事实上,Uber在2016年10月就曾遭遇黑客攻击,被窃取了5700万名乘客和司机的个人数据。而在面对黑客的曝光威胁时,该公司时任首席安全官乔·沙利文(Joe Sullivan)和副手选择向前者支付10万美元的赎金。
更荒谬的是,优步联合创始人、前CEO卡兰尼克到了一个月之后,才知道了这件事。而乔·沙利文直到一年之后,才被公司开除。
尽管上述新闻都是关于国外汽车企业,但中国境内的汽车企业遭遇黑客攻击和勒索的情况也时有发生。只不过因为各种原因,被媒体曝光的案例并不多。事实上据笔者了解,很多车企在面对黑客勒索时,甚至倾向于采用“息事宁人”的方式,支付赎金以求低调处理。而不是像蔚来这样,硬怼回去。
“当然,蔚来这次被要的赎金太高,远超行业水平。”上述专家对笔者说道。
写在最后
回到蔚来这次的数据泄露事件。尽管黑客从蔚来窃取用户数据,后者存在保护不力的责任,但李斌的这番坦诚表态,的确值得肯定。接下来蔚来要做的,便是明确到底哪些用户的哪些数据遭遇了泄露,以及蔚来会给出怎样的赔偿方案。更重要的是,后续蔚来将在哪些方面加强信息安全建设,尽所有可能杜绝此类事件的再次发生。
不过就笔者此前与诸多信息安全行业专家的交流可知,就像世界上没有绝对安全的保险柜一样,也不存在绝对安全的数据库。只要这个数据库的内容需要被实时访问、调用和修改,那么黑客总能找到可供攻击的漏洞。
从这个角度来讲,这也许就是智能汽车的代价所在。用户都渴望能获得一辆越来越聪明,能够及时乃至提前预判自己需求的汽车。但这必然意味着,我们需要将自己的社会信息、行为数据乃至生物数据交给汽车企业。而这些数据,也就同样面对着被泄露的风险。
也就是说,用户需要控制自己的预期,车企也要守住自己的边界。
建立这个意识,对于我们中国人民来说尤其重要。毕竟对于很多人的心态,某个大佬有着堪称“话糙理不糙”的经典描述: