全球简讯:除了蔚来,大多数车企都给黑客赎金了
出品丨虎嗅汽车组
(资料图)
作者丨周到
编辑丨张博文
头图丨视觉中国
每当有好事临近,总会有坏事前来添堵。
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方APP发布声明,对日前网络上有人出售蔚来相关数据的情况进行了回应。在该声明中,蔚来承认了确实存在用户基本信息和车辆销售信息泄露的情况,并遭遇到了黑客约225万美元的重金勒索。
而这距离蔚来年度发布会NIO Day,仅剩下4天时间。
在发布声明后,蔚来创始人、董事长兼CEO李斌在评论区对用户表达了歉意,同时也声明“不会与不法行为妥协”。卢龙则进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。
诚然,蔚来的这一次用户数据泄露又一次为车企敲响了信息安全的警钟,然而在公开报道之外,黑客对车企数据库的共计并不鲜见。一位在行业中多年负责信息安全业务的专业人士告诉笔者:
“面对黑客攻击,大多数车企都选择直接交赎金了事,只有蔚来这么‘刚’。”
这一次,黑客盗走了哪些数据?
从声明和高管回复可以看出,目前已经被确认窃取的数据,为2021年8月之前部分用户基本信息和车辆销售信息。然而,笔者提车的时间,恰恰就是2021年的7月4日。
“这不巧了么不是。”
所以,黑客有可能从蔚来的数据库里,窃取了笔者的哪些信息?
分析这个问题,我们可以从下定到购买,以及日常的使用,蔚来都从笔者这里搜集了哪些信息入手。坦率来说,这个信息不算少。
首先,是个人基础信息。在订车过程中,笔者的手机号、身份证等信息已经交给了蔚来APP或相关工作人员。而在北京、上海等限牌城市,购买蔚来这样的电动车,用户还需要给厂商提交购车指标或社保卡及工作居住证等信息。
而在完成提车后,蔚来APP中还会搜集用户的行驶证、车辆配置、车架号等信息。其中行驶证上关于家庭住址的信息与身份证上一致,而发动机号、车辆VIN码(每辆车的全球唯一编码,相当于车辆身份证)等也赫然在列。
除此之外,蔚来由于是自带4/5G通讯模块的智能汽车,因此基于主管部门的要求还需要实名认证后才能使用联网功能。为此,笔者还在蔚来APP进行了人脸识别+身份证的认证。这其中产生的数据,有没有被偷走的可能?
此外,车主信息中还包括了紧急联系人的姓名及电话,云相册(车内摄像头拍摄的用户合影)、车辆配置信息等等数据。如果这些被黑客卖给了犯罪分子,其结果恐怕不容乐观。虽然笔者向来遵纪守法,不具备罪犯们的想象力,但从此前汽车行业遭遇黑客破解的案例可以看出,车辆以及车主信息的被窃,可以给用户造成多大的麻烦。
早在2016年,日产Leaf(即东风日产的启辰晨风)电动车就被曝出存在安全漏洞。该漏洞存在于电动汽车的配套车载应用程序之中,黑客可以通过漏洞,在获知车辆VIN码后,对具体到某辆车的车主近期行程进行监控。更要命的是,黑客还可以通过该漏洞,远程操控该车辆的空调、门锁等功能。轻则让用户车辆因电量耗光而趴窝,重则可以用远程开锁将车内财物洗劫一空。
当然,此次黑客从蔚来窃取的还只是车主数据而已,并不存在程序安全漏洞,且其具体泄露的信息种类和范围尚未公布。但如果有骗子从黑客手中获得了笔者的姓名、身份证号、车牌号以及紧急联系人的信息后,很可能就会发生“谎称发生事故,要求家里人给医院打钱”的故事情节。
尽管一切还都只是猜测,但想一想就让人不寒而栗了。
不过根据网络上流传的信息,黑客从蔚来数据库中窃取的信息不止于上述提到的车主数据。上到总裁下到一线员工和车主等各个群体的信息,黑客“尽在掌握”。
这条信息的真假不论,但仅黑客的态度就让笔者感到气愤:就算蔚来在每年NIO Day上花钱去请大牌演艺明星助阵,这也是企业正常且合规合法的营销行为。这笔钱就算再多,也和给黑客交保护费不是一个性质。既然已经在卖黑产了,又何必打出“替天行道”的招牌?
当然经此一役后,蔚来肯定意识到,除了在研发、营销和服务上花大钱之外,数据库的信息安全建设也不能遭遇厚此薄彼了。
黑客:如何花式勒索车企
事实上,近几年汽车行业遭遇黑客攻击和勒索的情况屡见不鲜。随着车辆智能化程度的不断加深,一辆车上的弱点也越来越多。从门锁、车机屏幕到数据后台,乃至汽车企业本身,都在成为黑客们的攻击目标。
这样的例子实在太多,笔者挑几个很典型的分享给各位。这其中有大家耳熟能详的德系豪华品牌,也有支撑起匠心日系车的世界级供应商。
首先来看奔驰。在2019年8月,来自奇虎360事业部Sky-Go的中国专家团队专门研究了汽车黑客活动,他们发现了奔驰E级轿车中的19个漏洞,其中包括一些可以被攻击者利用以远程入侵车辆的问题。据介绍,通过这些漏洞,黑客可以远程解锁车门并启动国产奔驰E级的发动机,“仅在中国,该漏洞就可能影响200万辆汽车”。
与此同时,专家们害注意到,奔驰的后端服务器与“ Mercedes me”移动应用程序之间缺乏身份验证,这使用户可以远程控制汽车的多种功能。研究人员解释说,一旦他们访问了后端,就可以控制中国境内大量奔驰汽车。
当然,不幸中的万幸是奔驰对车载互联应用和车辆的功能安全模块做了区隔,研究团队无法破解被测试车辆的任何关键安全功能。
接着是日本电装株式会社(Denso)遭遇黑客攻击事件。在今年3月,日媒报道称该公司超过15.7万分订购单、电子邮件和设计图纸等共计1.4TB的资料疑被泄露,并被黑客索要赎金。虽然电装公司发言人对此消息表示拒绝评论,但也承认该公司检测到其位于德国的子公司在本周四遭遇过未授权登陆并使用勒索软件。据悉,电装公司最初由丰田汽车中独立而来,是后者乃至多家日系车企的供应商,目前在超过30个国家和地区设有170余家子公司。
值得一提的是,仅在半个月前另一家丰田供应商小岛冲压工业被黑客袭击,导致丰田汽车日本所有工厂停工一天。
而在今年8月,德国汽车零部件巨头大陆集团被曝出遭遇了网络攻击,在拒绝支付赎金后,黑客威胁称要将包括大陆集团预算、投资和战略规划,以及客户相关信息在暗网出售。
除此之外,包括现代、起亚、沃尔沃、通用、大众、宝马、英伟达等汽车和供应商企业,在今年来都被曝出遭遇黑客攻击的事件,其中不乏交过赎金后依旧遭“背刺”的丑闻。事实上,Uber在2016年10月就曾遭遇黑客攻击,被窃取了5700万名乘客和司机的个人数据。而在面对黑客的曝光威胁时,该公司时任首席安全官乔·沙利文(Joe Sullivan)和副手选择向前者支付10万美元的赎金。
更荒谬的是,优步联合创始人、前CEO卡兰尼克到了一个月之后,才知道了这件事。而乔·沙利文直到一年之后,才被公司开除。
尽管上述新闻都是关于国外汽车企业,但中国境内的汽车企业遭遇黑客攻击和勒索的情况也时有发生。只不过因为各种原因,被媒体曝光的案例并不多。事实上据笔者了解,很多车企在面对黑客勒索时,甚至倾向于采用“息事宁人”的方式,支付赎金以求低调处理。而不是像蔚来这样,硬怼回去。
“当然,蔚来这次被要的赎金太高,远超行业水平。”上述专家对笔者说道。
写在最后
回到蔚来这次的数据泄露事件。尽管黑客从蔚来窃取用户数据,后者存在保护不力的责任,但李斌的这番坦诚表态,的确值得肯定。接下来蔚来要做的,便是明确到底哪些用户的哪些数据遭遇了泄露,以及蔚来会给出怎样的赔偿方案。更重要的是,后续蔚来将在哪些方面加强信息安全建设,尽所有可能杜绝此类事件的再次发生。
不过就笔者此前与诸多信息安全行业专家的交流可知,就像世界上没有绝对安全的保险柜一样,也不存在绝对安全的数据库。只要这个数据库的内容需要被实时访问、调用和修改,那么黑客总能找到可供攻击的漏洞。
从这个角度来讲,这也许就是智能汽车的代价所在。用户都渴望能获得一辆越来越聪明,能够及时乃至提前预判自己需求的汽车。但这必然意味着,我们需要将自己的社会信息、行为数据乃至生物数据交给汽车企业。而这些数据,也就同样面对着被泄露的风险。
也就是说,用户需要控制自己的预期,车企也要守住自己的边界。
建立这个意识,对于我们中国人民来说尤其重要。毕竟对于很多人的心态,某个大佬有着堪称“话糙理不糙”的经典描述:
相关推荐:
最新新闻:
- 《赛博朋克2077》截图比赛结果发布
- 全球简讯:除了蔚来,大多数车企都给黑客赎金了
- 2022 ZOL推荐 | 联想天骄学堂沉浸式学习软件 获奖
- Win10/11被发现病毒漏洞:安全风险不亚于2017年WannaCry_世界热消息
- ZOL科技早餐:Apple watch S7蜂窝版低过2000,国产OS免费使用1年
- 腾讯国行Switch上线1年延保服务:首发99元 原厂部件
- 实时:联想IdeaCentre Mini主机发布 搭配13代酷睿处理器
- 开放世界航海游戏《Sail Forth》突然全平台发售
- 2022 ZOL推荐|掠夺者刀锋500SE超薄顶级电竞体验获奖
- 天天日报丨《药剂工艺:炼金模拟器》明年四月发售PS和NS版
- AMD Zen4集体跌跌不休!锐龙5 7600X降至冰点价|全球即时
- 2022 GG100 | 宏碁·未来 航海家商务环保电脑采用再生材料 获奖
- 2022 ZOL推荐 | ThinkCentre neo P780为专业级创作设计而生 获奖-天天观察
- 2022 ZOL推荐 | 惠普Z系列大师本 ZBook Studio G9提供强劲生产力 获奖
- 《战神:诸神黄昏》幕后视频完结篇 开发者感谢社区 热推荐
- 德国工地惊现“RTX 8090 Ti”!显卡厂商忍不住转发
- Epic喜加一:《乐高:建造者之旅》免费领取
- 2022 ZOL推荐 | 惠普星14 Pro高性能轻薄本体验拉满 获奖 当前报道
- 中欧基金李帅:越草根越前瞻、越系统越有效,1200次调研磨砺出的投资之道
- 环球滚动:日本JOW推出全封闭组装式电竞空间 全套售价2.7万元
- 世界消息!2022 GG100 | 打造投影新形态 极米神灯获奖
- 性能炸裂!英特尔酷睿i9-13900K CPU已超频超过9 GHz
- 2022 ZOL推荐|联想拯救者Legion Y32p 4K高刷屏电竞显示器帧彩画质获奖:环球热资讯
- 世界实时:2022 ZOL推荐 |明基SW271C专业摄影显示器获奖
- 天天观天下!部分DC项目将于1月公布 DC新总裁称不理会无礼抗议
- 111年后,它的超导性终于得到解释
- Meta明年将向元宇宙投入20%的成本
- 当前要闻:十名玩家联合起诉微软收购暴雪案 担心其垄断游戏行业
- 《海贼王:时光旅诗》全新预告 介绍游戏的系统
- 魅族 Flyme 与 QQ 音乐合作推出「QQ 音乐 Flyme 版」,2023 年 1 月上线_环球即时
- 【爆料】苹果 Apple TV App 或将推出安卓版,网友:更想要国行 Apple TV 全球快播
- 饭制虚幻5《原神》概念演示:建筑比例终于正常了!
- 速讯:育碧确认《刺客信条:英灵殿》不会加入Steam成就
- 关键决定!特朗普近6年纳税情况终于要公开了?-环球观焦点
- 全球实时:哈里森福特谈加盟MCU:我年纪虽大但仍想试点新东西
- 当前速读:是时候给Switch充电了!《塞尔达传说:王国之泪》通过ESRB评级
- 每日看点!2023年北美最受期待的10大电影 《银河护卫队3》登顶
- 抛弃国区的暴雪,正在魔兽世界里遭受反噬:全球今日报
- 联想推出旗下迷你电脑 采用第13代酷睿处理器
- 节假日试试自己认为不感冒的作品 说不定会有新大陆_世界要闻
- vivo S16明天发布:现已上架 看看这外观先_热资讯
- 小米12s Ultra跌到4999元 小米13 Ultra要来了?
- “阳”了之后,多地出现“血荒”-焦点要闻
- 世界视讯!截至周二《阿凡达:水之道》全球票房突破5亿美元 北美独占1.5亿美元中国内地贡献6210万美元
- 游戏创作两不误!下单蓝戟A750 Photon还送价值279元机械键盘
- 全球热门:重复感染奥密克戎会对免疫系统产生破坏吗?华山感染专家作答
- 魔兽争霸官方对战平台宣布停运
- 3DM速报:P社宣布将调整低价区价格 《雨中冒险回归》明年发售
- 《三角战略》全球总销量突破100万份 开发商发图庆贺
- 新版国产操作系统,纯净无广告可免费使用1年 天天视点
- 全球要闻:微软或于2023年收购奈飞,继续押注游戏
- 环球时讯:【爆料】「旗舰焊门员」新增猛将,Redmi K60 系列或 12 月 27 日发布
- 【热闻】细节拉满!小米13 Pro阿根廷庆祝实拍照曝光
- 显卡厚度惊了!RTX 4090 Ti渲染图曝光
- 全球热门:G7“原油上限“施行第一周:俄罗斯原油出口下降超50%
- 融资丨「Viva Republica」完成4.05亿美元G轮融资,Tonic Private Equity等领投
- 【世界速看料】《FORSPOKEN》团队:HDR视效问题将在首发时解决
- 速读:SteamDeck就出货问题发布声明 称会在年内寄送完毕
- 《三角战略》销量突破100万份 官方公开纪念贺图_实时焦点
- 垂直起降电动飞机Air One首飞成功 售价仅100万元出头
- 曝特斯拉Model 3新款降到10多万 你会买么
- 联想荣获中国联通5G应用创新联盟“2022年度最佳合作伙伴”奖 天天信息
- 每日消息!突发!《魔兽争霸》官方对战平台宣布1月24日停止运营
- 英雄联盟宇宙首部长篇小说《破败之咒》中文版上架,售价57元
- 天天热消息:第二届戴森科技节:发明家精神引领科技突破,戴森让创新永无止境
- 全球玩具业最大的增长动力——“老顽童”
- 老人故意推倒摩托车 车主坚持追刑责:老人终被捕:今日精选
- 沉迷AIGC两周后:某些人失业是必然的|环球关注
- 每日播报!PS.blog年度奖项颁布:《战神:诸神黄昏》狂揽10项大奖
- 因为减肥,我患上了暴食症
- 收购狂魔?曝微软首席执行官有意明年收购网飞
- 神似梅西男子被民众围堵合影 都想要甜头的动态图
- 《阿凡达2》绮莉演员 为角色重回高中寻找年轻心态
- 格力砸巨资“跨界”突围,“营销女皇”董明珠追风不止?:天天快消息
- 全球速递!《黎明杀机》冬促福利满满 时装上新活动来袭