文|一号财经,作者|金水
发生在 2022 NIO Day 数日前的用户信息泄露事件,像一个蒙面刺客在暗影中刺出一剑,直指蔚来汽车(9866.HK)最敏感而薄弱的部分。
智能化的未来如果是以数据安全为代价,蔚来车主还愿意承受吗?当你买了一辆新能源汽车后,你的身份证、用户地址,甚至亲密关系、贷款数据都被坏人窃取,并且拿到网上贩卖?
蔚来的 12 万车主,都有可能面临着这样的风险。
日前,蔚来汽车就用户数据遭窃取发表致歉声明,证实了此前用户数据泄露的传闻。声明显示,遭窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。
在数据安全领域有一定影响力的 360 公司的董事长周鸿祎,近期在其快手号上表示,窃取用户信息进行勒索,已大行其道,甚至:
成为了国际上的“一种商业模式”。
12 月 25 日,蔚来董事长李斌表示,2023 年,销量目标是超过雷克萨斯燃油车销量,即销量将达到 19 万-23 万辆。
那么,这 20 万左右的车主,会不会再次面临个人信息泄密呢?
2023 年将进入智能化的下半场,涉及到的用户数据将会更多。甚至于,新能源汽车之所以能够实现智能化,源自于用户让渡了大量的个人数据。
一直以来,车主的数据都被新能源车企视为其重要的财富。那么,车企,乃至行业该如何确保车主的数据不会泄露?
或涉 12 万蔚来车主
12 月 25 日,在蔚来媒体交流会上,蔚来创始人李斌再次谈及数据泄露事件时表示,蔚来“坚决不妥协”。而此前 12 月 20 日,蔚来已就用户数据遭窃取发表致歉声明。
蔚来集团发布公告回应
此前一张流传于网络的图片就已经显示,有人“破解了蔚来大量数据”,且公开出售,以比特币结算。
据这张图片,所售数据包括蔚来员工数据、订单数据、车主身份证、用户地址,另外,车主亲密关系、贷款数据等信息也可以出售。
这些信息不仅涉及蔚来公司的机密,也涉及蔚来车主的隐私。
当时,这些敏感的隐私信息,已被一一明码标价。如 2.28 万条员工数据,标价 0.15 比特币,3.99 万条车主用户身份证数据,标价 0.25 比特币;而全部数据打包出售,价格仅仅为:1 比特币。
网络流传图片
这些遭窃取数据,经蔚来初步调查,主要为 2021 年 8 月之前蔚来的部分用户基本信息和车辆销售信息。
那么,哪些蔚来车主信息可能已被窃取呢?
公开资料显示,在 2021 年的 8 月之前,即 2021 年1-7 月,蔚来累计交付了 49887 台汽车;
2020 年全年,交付量达 43728 台;
2019 年全年,交付量达 20565 台;
2018 年全年,交付量达 11348 台,共计 125528 台。
即,此次用户数据泄密,或涉及 12 万左右蔚来车主。
据财联社,针对广大可能信息已经泄露了的蔚来车主,蔚来客服表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎。
蔚来也因此次数据泄密,遭到勒索。
12 月 11 日,蔚来收到外部邮件,显示遭到勒索金额为 225 万美元等额比特币。蔚来并没有透露是否交了勒索金,但表示,收到勒索邮件后,当天即成立专项小组进行调查与应对,并第一时间向有关部门报告。
在数据安全领域有一定影响力的 360 公司的董事长周鸿祎近期表示,目前,此类勒索组织已大行其道。
一些重要单位遭到勒索之后,国内的勒索金额大概平均在 500 万人民币到 1000 万人民币,国外的勒索金额是在 500 万美金到 1000 万美金。周鸿祎表示:“它已经变成了一种商业模式”。
360 车联网安全首席科学家明亮也指出,现在网络空间面对的不再是“小蟊贼”,而是“大玩家”,有“高级持续性威胁、勒索软件攻击”特征。
针对用户数据泄露一事,蔚来汽车客服人员表示,不会对广大车主做出主动赔偿,但“对因本次事件给用户造成的损失承担责任”。
目前已有不少自媒体质疑,车主、用户该如何向蔚来证明遭遇了损失?寻求蔚来赔偿的程序会不会很复杂?
12 月 25 日,蔚来董事长李斌表示,2023 年,销量目标是超过雷克萨斯燃油车销量,即销量将达到 19 万-23 万辆。这 20 万左右的车主,会不会再次面临个人信息的泄密呢?
智能汽车更易信息泄露
明亮表示,近三年,汽车网络攻击事件快速增加。其实,不止蔚来,国内的很多车企都遭受国数据泄露和勒索。
2021 年 6 月,大众汽车曾表示,有将近 330 万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
2021 年 12 月,沃尔沃汽车运营的研发数据遭黑客入侵。当时,沃尔沃称,公司有限数量的研发财产被盗,并称 “可能对公司的运营产生影响”。
2022 年 5 月,通用汽车发布声明称,2022 年 4 月 11 日-29 日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。
2022 年 10 月,丰田汽车在一份声明中表示,使用T-connect 服务的约 29.6 万名客户的个人信息可能已被泄露。而且,此前的 2022 年 2 月,丰田汽车就遭到网络攻击,导致其日本工厂全面停产。
另外,车企有关车主、用户信息被窃取后,一般都会面临巨额勒索。2021 年 2 月,起亚汽车遭到勒索软件攻击,赎金达 2 亿元。
盖世汽车研究院的报告显示,几乎所有主流车企,都遭受过网络安全影响,数据安全是重点。
相较于普通汽车,智能汽车的信息安全形势更为严峻。
其一、智能汽车之所以能够实现“智能化”,源于用户让渡了大量个人数据。这些数据不仅包括车辆的基本信息,还包括车辆的位置,乃至车内空间的视频和音频等。
其二、汽车智能化是“软件决定汽车”,其中的软件代码十分多,如高阶自动驾驶汽车的软件代码量将达到 3 亿-5 亿行,而业内的“规律”是,每百万行代码缺陷或漏洞数量在 600 个左右,这意味着,代码众多的智能汽车容易被攻击的漏洞十分多。
其三、车联网中,智能汽车受外界的网络攻击入口也将增多。这些攻击的入口包括无钥匙进入、车内网络、USB 卡槽、OBD 和传感器等近场攻击,也包括通过 wifi、4G/5G 网络等中程攻击,还包括主机厂、运营商等云端远程攻击。
纵观过去 10 年,汽车网络安全事件频发,据 Upstream Security 统计,截止目前,汽车网络安全攻击事件已接近千起。
在近千起事件中,数据/隐私泄露占比最高,为 39.9%。另外,汽车被盗/侵入占比 27.9%、控制车辆系统占比 24.2%,服务中断占比 18.2%。
你还买智能汽车吗?
智能汽车的数据安全方面,不仅包括个人信息易泄露之外,还涉及到行车等其他方面的安全。
你买了一台智能汽车,看似这台汽车归你所有,但是,黑客只需一台笔记本电脑,就可能解锁或启动你的汽车,能够做到远程按喇叭,甚至在行车途中突然远程刹车。
这是福布斯杂志 12 月 21 日引用网络安全研究人员警告时的报道,当时,网络人员主要针对的是本田和日产车主。
目前的车联网,使得网络黑客很容易找到漏洞,攻入车辆内部,继而控制车辆行驶,给行车安全带来危险。
另外,智能汽车上大量的视觉、激光雷达、毫米波雷达等传感器在行驶过程中,会不断扫描路面和周围交通环境,获取大量地理信息,这就涉及更高层次的安全问题了。
据传,不少国内公职人员以及在特殊部门工作人员,是不允许购买特斯拉智能汽车的。即使购买了,也不能随便开到他们单位内,这就是基于安全考虑。
有时候,智能汽车个人信息容易泄露的特点,也能起到正面的作用。
美国移民和边境管理人员 2022 年关注重点,就是汽车黑客工具。通过黑客手段,可以从汽车上收集潜在证据,这比从智能手机上获得的更多,这大大增加他们管理工作的便利性。
从如今数据安全保护的严峻性方面来看,智能汽车主机厂、行业管理部门,都要快速行动起来。
首先,主机厂要强化数据安全管理,在数据的采集、传输、存储、使用等过程中,要从从技术上保证这些数据的安全;另外,主机厂不能仅仅将这些数据仅仅视为自身的“富矿”,而是要重视这些数据的保护,在使用中要合理合法合规。
其次,作为智能汽车行业,也要迅速建立起安全监测机制,把政、产、学、研连接起来,共同构建数据安全监测能力,确保数据泄露隐患在萌芽状态时就被预警。这不仅利于行业发展,对主机厂也很有必要,能确保主机厂在车辆发生风险时能及时知晓。
总之,智能化是汽车产业发展的重要趋势,而数据是实现智能化的基石。保护数据安全,不能阻碍技术创新。要平衡好技术创新与数据安全的关系,确保技术不断创新,最终用技术的手段解决好智能汽车的数据泄露问题。