出品丨虎嗅汽車組
作者丨周到
編輯丨張博文
(資料圖)
頭圖丨視覺中國
每當(dāng)有好事臨近,總會(huì)有壞事前來添堵。
12月20日,蔚來首席信息安全科學(xué)家、信息安全委員會(huì)負(fù)責(zé)人盧龍?jiān)谠摴竟俜紸PP發(fā)布聲明,對日前網(wǎng)絡(luò)上有人出售蔚來相關(guān)數(shù)據(jù)的情況進(jìn)行了回應(yīng)。在該聲明中,蔚來承認(rèn)了確實(shí)存在用戶基本信息和車輛銷售信息泄露的情況,并遭遇到了黑客約225萬美元的重金勒索。
而這距離蔚來年度發(fā)布會(huì)NIO Day,僅剩下4天時(shí)間。
在發(fā)布聲明后,蔚來創(chuàng)始人、董事長兼CEO李斌在評(píng)論區(qū)對用戶表達(dá)了歉意,同時(shí)也聲明“不會(huì)與不法行為妥協(xié)”。盧龍則進(jìn)一步透露,他們正在調(diào)查數(shù)據(jù)泄露的原因和影響范圍,但“本次事件不涉及車輛使用中產(chǎn)生的數(shù)據(jù)(如行車軌跡、座艙數(shù)據(jù))”。
誠然,蔚來的這一次用戶數(shù)據(jù)泄露又一次為車企敲響了信息安全的警鐘,然而在公開報(bào)道之外,黑客對車企數(shù)據(jù)庫的共計(jì)并不鮮見。一位在行業(yè)中多年負(fù)責(zé)信息安全業(yè)務(wù)的專業(yè)人士告訴筆者:
“面對黑客攻擊,大多數(shù)車企都選擇直接交贖金了事,只有蔚來這么‘剛’。”
這一次,黑客盜走了哪些數(shù)據(jù)?
從聲明和高管回復(fù)可以看出,目前已經(jīng)被確認(rèn)竊取的數(shù)據(jù),為2021年8月之前部分用戶基本信息和車輛銷售信息。然而,筆者提車的時(shí)間,恰恰就是2021年的7月4日。
“這不巧了么不是。”
所以,黑客有可能從蔚來的數(shù)據(jù)庫里,竊取了筆者的哪些信息?
分析這個(gè)問題,我們可以從下定到購買,以及日常的使用,蔚來都從筆者這里搜集了哪些信息入手。坦率來說,這個(gè)信息不算少。
首先,是個(gè)人基礎(chǔ)信息。在訂車過程中,筆者的手機(jī)號(hào)、身份證等信息已經(jīng)交給了蔚來APP或相關(guān)工作人員。而在北京、上海等限牌城市,購買蔚來這樣的電動(dòng)車,用戶還需要給廠商提交購車指標(biāo)或社保卡及工作居住證等信息。
而在完成提車后,蔚來APP中還會(huì)搜集用戶的行駛證、車輛配置、車架號(hào)等信息。其中行駛證上關(guān)于家庭住址的信息與身份證上一致,而發(fā)動(dòng)機(jī)號(hào)、車輛VIN碼(每輛車的全球唯一編碼,相當(dāng)于車輛身份證)等也赫然在列。
除此之外,蔚來由于是自帶4/5G通訊模塊的智能汽車,因此基于主管部門的要求還需要實(shí)名認(rèn)證后才能使用聯(lián)網(wǎng)功能。為此,筆者還在蔚來APP進(jìn)行了人臉識(shí)別+身份證的認(rèn)證。這其中產(chǎn)生的數(shù)據(jù),有沒有被偷走的可能?
此外,車主信息中還包括了緊急聯(lián)系人的姓名及電話,云相冊(車內(nèi)攝像頭拍攝的用戶合影)、車輛配置信息等等數(shù)據(jù)。如果這些被黑客賣給了犯罪分子,其結(jié)果恐怕不容樂觀。雖然筆者向來遵紀(jì)守法,不具備罪犯們的想象力,但從此前汽車行業(yè)遭遇黑客破解的案例可以看出,車輛以及車主信息的被竊,可以給用戶造成多大的麻煩。
早在2016年,日產(chǎn)Leaf(即東風(fēng)日產(chǎn)的啟辰晨風(fēng))電動(dòng)車就被曝出存在安全漏洞。該漏洞存在于電動(dòng)汽車的配套車載應(yīng)用程序之中,黑客可以通過漏洞,在獲知車輛VIN碼后,對具體到某輛車的車主近期行程進(jìn)行監(jiān)控。更要命的是,黑客還可以通過該漏洞,遠(yuǎn)程操控該車輛的空調(diào)、門鎖等功能。輕則讓用戶車輛因電量耗光而趴窩,重則可以用遠(yuǎn)程開鎖將車內(nèi)財(cái)物洗劫一空。
當(dāng)然,此次黑客從蔚來竊取的還只是車主數(shù)據(jù)而已,并不存在程序安全漏洞,且其具體泄露的信息種類和范圍尚未公布。但如果有騙子從黑客手中獲得了筆者的姓名、身份證號(hào)、車牌號(hào)以及緊急聯(lián)系人的信息后,很可能就會(huì)發(fā)生“謊稱發(fā)生事故,要求家里人給醫(yī)院打錢”的故事情節(jié)。
盡管一切還都只是猜測,但想一想就讓人不寒而栗了。
不過根據(jù)網(wǎng)絡(luò)上流傳的信息,黑客從蔚來數(shù)據(jù)庫中竊取的信息不止于上述提到的車主數(shù)據(jù)。上到總裁下到一線員工和車主等各個(gè)群體的信息,黑客“盡在掌握”。
這條信息的真假不論,但僅黑客的態(tài)度就讓筆者感到氣憤:就算蔚來在每年NIO Day上花錢去請大牌演藝明星助陣,這也是企業(yè)正常且合規(guī)合法的營銷行為。這筆錢就算再多,也和給黑客交保護(hù)費(fèi)不是一個(gè)性質(zhì)。既然已經(jīng)在賣黑產(chǎn)了,又何必打出“替天行道”的招牌?
當(dāng)然經(jīng)此一役后,蔚來肯定意識(shí)到,除了在研發(fā)、營銷和服務(wù)上花大錢之外,數(shù)據(jù)庫的信息安全建設(shè)也不能遭遇厚此薄彼了。
黑客:如何花式勒索車企
事實(shí)上,近幾年汽車行業(yè)遭遇黑客攻擊和勒索的情況屢見不鮮。隨著車輛智能化程度的不斷加深,一輛車上的弱點(diǎn)也越來越多。從門鎖、車機(jī)屏幕到數(shù)據(jù)后臺(tái),乃至汽車企業(yè)本身,都在成為黑客們的攻擊目標(biāo)。
這樣的例子實(shí)在太多,筆者挑幾個(gè)很典型的分享給各位。這其中有大家耳熟能詳?shù)牡孪岛廊A品牌,也有支撐起匠心日系車的世界級(jí)供應(yīng)商。
首先來看奔馳。在2019年8月,來自奇虎360事業(yè)部Sky-Go的中國專家團(tuán)隊(duì)專門研究了汽車黑客活動(dòng),他們發(fā)現(xiàn)了奔馳E級(jí)轎車中的19個(gè)漏洞,其中包括一些可以被攻擊者利用以遠(yuǎn)程入侵車輛的問題。據(jù)介紹,通過這些漏洞,黑客可以遠(yuǎn)程解鎖車門并啟動(dòng)國產(chǎn)奔馳E級(jí)的發(fā)動(dòng)機(jī),“僅在中國,該漏洞就可能影響200萬輛汽車”。
與此同時(shí),專家們害注意到,奔馳的后端服務(wù)器與“ Mercedes me”移動(dòng)應(yīng)用程序之間缺乏身份驗(yàn)證,這使用戶可以遠(yuǎn)程控制汽車的多種功能。研究人員解釋說,一旦他們訪問了后端,就可以控制中國境內(nèi)大量奔馳汽車。
當(dāng)然,不幸中的萬幸是奔馳對車載互聯(lián)應(yīng)用和車輛的功能安全模塊做了區(qū)隔,研究團(tuán)隊(duì)無法破解被測試車輛的任何關(guān)鍵安全功能。
接著是日本電裝株式會(huì)社(Denso)遭遇黑客攻擊事件。在今年3月,日媒報(bào)道稱該公司超過15.7萬分訂購單、電子郵件和設(shè)計(jì)圖紙等共計(jì)1.4TB的資料疑被泄露,并被黑客索要贖金。雖然電裝公司發(fā)言人對此消息表示拒絕評(píng)論,但也承認(rèn)該公司檢測到其位于德國的子公司在本周四遭遇過未授權(quán)登陸并使用勒索軟件。據(jù)悉,電裝公司最初由豐田汽車中獨(dú)立而來,是后者乃至多家日系車企的供應(yīng)商,目前在超過30個(gè)國家和地區(qū)設(shè)有170余家子公司。
值得一提的是,僅在半個(gè)月前另一家豐田供應(yīng)商小島沖壓工業(yè)被黑客襲擊,導(dǎo)致豐田汽車日本所有工廠停工一天。
而在今年8月,德國汽車零部件巨頭大陸集團(tuán)被曝出遭遇了網(wǎng)絡(luò)攻擊,在拒絕支付贖金后,黑客威脅稱要將包括大陸集團(tuán)預(yù)算、投資和戰(zhàn)略規(guī)劃,以及客戶相關(guān)信息在暗網(wǎng)出售。
除此之外,包括現(xiàn)代、起亞、沃爾沃、通用、大眾、寶馬、英偉達(dá)等汽車和供應(yīng)商企業(yè),在今年來都被曝出遭遇黑客攻擊的事件,其中不乏交過贖金后依舊遭“背刺”的丑聞。事實(shí)上,Uber在2016年10月就曾遭遇黑客攻擊,被竊取了5700萬名乘客和司機(jī)的個(gè)人數(shù)據(jù)。而在面對黑客的曝光威脅時(shí),該公司時(shí)任首席安全官喬·沙利文(Joe Sullivan)和副手選擇向前者支付10萬美元的贖金。
更荒謬的是,優(yōu)步聯(lián)合創(chuàng)始人、前CEO卡蘭尼克到了一個(gè)月之后,才知道了這件事。而喬·沙利文直到一年之后,才被公司開除。
盡管上述新聞都是關(guān)于國外汽車企業(yè),但中國境內(nèi)的汽車企業(yè)遭遇黑客攻擊和勒索的情況也時(shí)有發(fā)生。只不過因?yàn)楦鞣N原因,被媒體曝光的案例并不多。事實(shí)上據(jù)筆者了解,很多車企在面對黑客勒索時(shí),甚至傾向于采用“息事寧人”的方式,支付贖金以求低調(diào)處理。而不是像蔚來這樣,硬懟回去。
“當(dāng)然,蔚來這次被要的贖金太高,遠(yuǎn)超行業(yè)水平。”上述專家對筆者說道。
寫在最后
回到蔚來這次的數(shù)據(jù)泄露事件。盡管黑客從蔚來竊取用戶數(shù)據(jù),后者存在保護(hù)不力的責(zé)任,但李斌的這番坦誠表態(tài),的確值得肯定。接下來蔚來要做的,便是明確到底哪些用戶的哪些數(shù)據(jù)遭遇了泄露,以及蔚來會(huì)給出怎樣的賠償方案。更重要的是,后續(xù)蔚來將在哪些方面加強(qiáng)信息安全建設(shè),盡所有可能杜絕此類事件的再次發(fā)生。
不過就筆者此前與諸多信息安全行業(yè)專家的交流可知,就像世界上沒有絕對安全的保險(xiǎn)柜一樣,也不存在絕對安全的數(shù)據(jù)庫。只要這個(gè)數(shù)據(jù)庫的內(nèi)容需要被實(shí)時(shí)訪問、調(diào)用和修改,那么黑客總能找到可供攻擊的漏洞。
從這個(gè)角度來講,這也許就是智能汽車的代價(jià)所在。用戶都渴望能獲得一輛越來越聰明,能夠及時(shí)乃至提前預(yù)判自己需求的汽車。但這必然意味著,我們需要將自己的社會(huì)信息、行為數(shù)據(jù)乃至生物數(shù)據(jù)交給汽車企業(yè)。而這些數(shù)據(jù),也就同樣面對著被泄露的風(fēng)險(xiǎn)。
也就是說,用戶需要控制自己的預(yù)期,車企也要守住自己的邊界。
建立這個(gè)意識(shí),對于我們中國人民來說尤其重要。畢竟對于很多人的心態(tài),某個(gè)大佬有著堪稱“話糙理不糙”的經(jīng)典描述: