蔚来遭遇勒索:制造业网络安全该补课了

  文周天财经

  周天财经原创出品

  近日,正在二代线产能爬坡期的蔚来汽车遭到黑客勒索了。

  勒索者在对外公布的勒索信中写道:近日来我们破解了蔚来汽车大量数据,同时给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此我们决定有偿曝光。

  泄漏数据包括:蔚来内部员工数据 22800 条,包含总裁到一线员工的信息,售价 0.15 比特币。车主用户身份证数据 399000 条,售价 0.25 比特币。此外,还有用户地址数据 650000 条,蔚来注册用户数据 4850000 条。企业及企业代表联系人数据 10000 条。甚至还有 490000 条订单数据和 90000 条退单数据。

  从上述泄漏数据来看,黑客很可能拿到了蔚来汽车内网和销售后台的权限,似乎和工业生产以及车辆自身安全无关,但这足以给包括蔚来在内的车企以一记警钟。

  对此,12 月 20 日晚,蔚来官方社区紧急发布的一则《关于数据安全事件的声明》坐实了这则勒索,蔚来称,2022 年 12 月 11 日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元等额比特币。

  蔚来方面表示,在收到勒索邮件后公司当天即成立专项小组讲行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。蔚来对此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。

  这样的信息泄漏,很可能动摇用户信心。根据 2020 年 6 月美国国际数据管理公司 Veritas Technologies 的一项调查研究显示,44% 的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。

  蔚来汽车创始人李斌也道歉称:保护好用户信息是我们的责任,我们没有做好,深表歉意,会对此承担责任。同时,会追查到底,不会与不法行为妥协,也请大家及时提供线索。

  一位网络安全领域的创始人告诉周天财经,类似的勒索其实并不罕见。‘但凡有点价值(的企业和行业),都会被勒索一轮,很多企业一年会被勒索三轮。哪怕是交了赎金后,仍然会不停被勒索。’

  该创始人谈道:我们每个礼拜都能碰到企业中了什么勒索,被勒索了多少。这种事件是经常发生的,事件发生之后是很难解决的。要么就是付勒索币,要么就是提前部署安全防护。

  但可惜的是,多位安全专家谈道,安全其实是一种隐性需求,一家车企有明确的业绩指引和考核,比如要卖多少辆车,烧掉多少市场推广费用,这些都是清晰的,但是唯独安全这类未雨绸缪的工作,在恶性事件发生前,车企是缺乏概念的,‘车企是不知道自己有这个需求的’。

  从投入层面可见一斑,一位从事物联网安全业务的企业家告诉周天财经:‘很多车企安全投入的预算和市场预算是非常不成比例的,市面上那么多大的安全项目,很少看到车企们在投入。车企乃至整个制造业,对于网络安全都缺乏足够的重视。’

  甲方付费意愿差,也让网络安全企业普遍有挫败感,他们在行业交流会议中反映,市场开拓和市场教育非常困难。关于这一点,其实勒索方也在勒索信中谈到,其给过蔚来两次机会,但蔚来似乎没有引起重视,‘宁愿请歌星花几千万,也不愿付赎金’。

  一家位于上海的物联网安全企业就对周天财经谈到:物联网的大甲方,比如汽车制造业、新能源产业,业主一般收到的是一堆二进制的 firmware 的 blackbox,物理安全和供应链安全都缺乏保障。在物理和虚拟世界的融合地带安全是极其脆弱的,会暴露出巨大的攻击面。‘很多芯片的系统版本从 3 点几到 5 点几的都有,版本上跨越了十年,很混乱,很难靠软件层面就来弥合这样的跨度,芯片和摄像头上往往存在一堆漏洞,而最初开发的人很多都离职了,这就是我们今天面临的较为普遍的安全现状,可以说还处在刀耕火种的时期’。

  而且很多企业的信息系统往往交给多家供应商来开发和部署,衔接和合作会出现问题,有时候层层外包,一个系统可以有 20 个参与方,出了事情后,很难快速定位到漏洞所在和责任方。一位网络安全从业者就谈道,‘解决问题的过程就是四处找责任人和经办人,最后往往发现是非常弱智非常低级的错误,比如一个配置错误或供应商的网络中断问题’。

  其实,汽车企业被勒索并非新鲜事。

  本田汽车就在 2017 年遭遇 wannacry 勒索软件的攻击,这影响了其日本一家装配厂的生产。到 2020 年,本田汽车又遭受了一种名为 Snake 的勒索软件攻击。Snake 使用 Golang 编写,被加密文件末尾追加 EKANS,在被该软件攻击后,被攻击者只能缴纳赎金,才能恢复文件。这款勒索软件的波及面很广,影响了本田的计算机服务器、电子邮件以及其他内网功能。

  丰田也未能幸免,2021 年,丰田便因零部件供应商受到‘勒索软件’攻击,决定停止日本全国所有工厂运行。此次勒索攻击造成的停产大约影响 1 万辆汽车的生产,约占到丰田汽车在日本国内月销量的 5%,给企业造成巨大经济损失。

  本田和丰田遇到的是勒索软件对工业控制系统的攻击,直接影响的是生产安全,和蔚来此番遭遇有所不同,但对制造业来说,保卫网络安全已迫在眉睫。根据趋势科技委托独立研究专家 Vanson Bourne 对美国、德国和日本 500 名 IT 和 OT 专业人员进行的调查结果显示,61% 的制造商在其智能工厂经历过网络安全事件,75% 的制造商因此遭受系统中断,其中 43% 持续了 4 天以上。IBM X-Force 网络安全情报部门也发布一项调研报告,报告指出,在 2021 年,制造业已经取代金融和保险行业成为遭受网络攻击最多的行业。

  制造业和互联网发生交集,当汽车成为一个数字终端,越发‘连接一切’的时候,网络安全就成为必须修炼的内功,从工业制造的供应链安全到销售管理乃至车辆自身防劫持,都对汽车制造业提出了很高的安全要求。蔚来汽车这次的遭遇是不幸的,希望蔚来能把损失减少到最低,同时也期待整个汽车产业早日加强安全能力建设,防患于未然。