【熱聞】除了蔚來，大多數車企都給黑客贖金了

出品丨虎嗅汽車組

(資料圖片)

作者丨周到

編輯丨張博文

頭圖丨視覺中國

每當有好事臨近，總會有壞事前來添堵。

12月20日，蔚來首席信息安全科學家、信息安全委員會負責人盧龍在該公司官方APP發布聲明，對日前網絡上有人出售蔚來相關數據的情況進行了回應。在該聲明中，蔚來承認了確實存在用戶基本信息和車輛銷售信息泄露的情況，并遭遇到了黑客約225萬美元的重金勒索。

而這距離蔚來年度發布會NIO Day，僅剩下4天時間。

在發布聲明后，蔚來創始人、董事長兼CEO李斌在評論區對用戶表達了歉意，同時也聲明“不會與不法行為妥協”。盧龍則進一步透露，他們正在調查數據泄露的原因和影響范圍，但“本次事件不涉及車輛使用中產生的數據（如行車軌跡、座艙數據）”。

誠然，蔚來的這一次用戶數據泄露又一次為車企敲響了信息安全的警鐘，然而在公開報道之外，黑客對車企數據庫的共計并不鮮見。一位在行業中多年負責信息安全業務的專業人士告訴筆者：

“面對黑客攻擊，大多數車企都選擇直接交贖金了事，只有蔚來這么‘剛’。”

這一次，黑客盜走了哪些數據？

從聲明和高管回復可以看出，目前已經被確認竊取的數據，為2021年8月之前部分用戶基本信息和車輛銷售信息。然而，筆者提車的時間，恰恰就是2021年的7月4日。

“這不巧了么不是。”

所以，黑客有可能從蔚來的數據庫里，竊取了筆者的哪些信息？

分析這個問題，我們可以從下定到購買，以及日常的使用，蔚來都從筆者這里搜集了哪些信息入手。坦率來說，這個信息不算少。

首先，是個人基礎信息。在訂車過程中，筆者的手機號、身份證等信息已經交給了蔚來APP或相關工作人員。而在北京、上海等限牌城市，購買蔚來這樣的電動車，用戶還需要給廠商提交購車指標或社保卡及工作居住證等信息。

而在完成提車后，蔚來APP中還會搜集用戶的行駛證、車輛配置、車架號等信息。其中行駛證上關于家庭住址的信息與身份證上一致，而發動機號、車輛VIN碼（每輛車的全球唯一編碼，相當于車輛身份證）等也赫然在列。

除此之外，蔚來由于是自帶4/5G通訊模塊的智能汽車，因此基于主管部門的要求還需要實名認證后才能使用聯網功能。為此，筆者還在蔚來APP進行了人臉識別+身份證的認證。這其中產生的數據，有沒有被偷走的可能？

此外，車主信息中還包括了緊急聯系人的姓名及電話，云相冊（車內攝像頭拍攝的用戶合影）、車輛配置信息等等數據。如果這些被黑客賣給了犯罪分子，其結果恐怕不容樂觀。雖然筆者向來遵紀守法，不具備罪犯們的想象力，但從此前汽車行業遭遇黑客破解的案例可以看出，車輛以及車主信息的被竊，可以給用戶造成多大的麻煩。

早在2016年，日產Leaf（即東風日產的啟辰晨風）電動車就被曝出存在安全漏洞。該漏洞存在于電動汽車的配套車載應用程序之中，黑客可以通過漏洞，在獲知車輛VIN碼后，對具體到某輛車的車主近期行程進行監控。更要命的是，黑客還可以通過該漏洞，遠程操控該車輛的空調、門鎖等功能。輕則讓用戶車輛因電量耗光而趴窩，重則可以用遠程開鎖將車內財物洗劫一空。

當然，此次黑客從蔚來竊取的還只是車主數據而已，并不存在程序安全漏洞，且其具體泄露的信息種類和范圍尚未公布。但如果有騙子從黑客手中獲得了筆者的姓名、身份證號、車牌號以及緊急聯系人的信息后，很可能就會發生“謊稱發生事故，要求家里人給醫院打錢”的故事情節。

盡管一切還都只是猜測，但想一想就讓人不寒而栗了。

不過根據網絡上流傳的信息，黑客從蔚來數據庫中竊取的信息不止于上述提到的車主數據。上到總裁下到一線員工和車主等各個群體的信息，黑客“盡在掌握”。

這條信息的真假不論，但僅黑客的態度就讓筆者感到氣憤：就算蔚來在每年NIO Day上花錢去請大牌演藝明星助陣，這也是企業正常且合規合法的營銷行為。這筆錢就算再多，也和給黑客交保護費不是一個性質。既然已經在賣黑產了，又何必打出“替天行道”的招牌？

當然經此一役后，蔚來肯定意識到，除了在研發、營銷和服務上花大錢之外，數據庫的信息安全建設也不能遭遇厚此薄彼了。

黑客：如何花式勒索車企

事實上，近幾年汽車行業遭遇黑客攻擊和勒索的情況屢見不鮮。隨著車輛智能化程度的不斷加深，一輛車上的弱點也越來越多。從門鎖、車機屏幕到數據后臺，乃至汽車企業本身，都在成為黑客們的攻擊目標。

這樣的例子實在太多，筆者挑幾個很典型的分享給各位。這其中有大家耳熟能詳的德系豪華品牌，也有支撐起匠心日系車的世界級供應商。

首先來看奔馳。在2019年8月，來自奇虎360事業部Sky-Go的中國專家團隊專門研究了汽車黑客活動，他們發現了奔馳E級轎車中的19個漏洞，其中包括一些可以被攻擊者利用以遠程入侵車輛的問題。據介紹，通過這些漏洞，黑客可以遠程解鎖車門并啟動國產奔馳E級的發動機，“僅在中國，該漏洞就可能影響200萬輛汽車”。

與此同時，專家們害注意到，奔馳的后端服務器與“ Mercedes me”移動應用程序之間缺乏身份驗證，這使用戶可以遠程控制汽車的多種功能。研究人員解釋說，一旦他們訪問了后端，就可以控制中國境內大量奔馳汽車。

當然，不幸中的萬幸是奔馳對車載互聯應用和車輛的功能安全模塊做了區隔，研究團隊無法破解被測試車輛的任何關鍵安全功能。

接著是日本電裝株式會社（Denso）遭遇黑客攻擊事件。在今年3月，日媒報道稱該公司超過15.7萬分訂購單、電子郵件和設計圖紙等共計1.4TB的資料疑被泄露，并被黑客索要贖金。雖然電裝公司發言人對此消息表示拒絕評論，但也承認該公司檢測到其位于德國的子公司在本周四遭遇過未授權登陸并使用勒索軟件。據悉，電裝公司最初由豐田汽車中獨立而來，是后者乃至多家日系車企的供應商，目前在超過30個國家和地區設有170余家子公司。

值得一提的是，僅在半個月前另一家豐田供應商小島沖壓工業被黑客襲擊，導致豐田汽車日本所有工廠停工一天。

而在今年8月，德國汽車零部件巨頭大陸集團被曝出遭遇了網絡攻擊，在拒絕支付贖金后，黑客威脅稱要將包括大陸集團預算、投資和戰略規劃，以及客戶相關信息在暗網出售。

除此之外，包括現代、起亞、沃爾沃、通用、大眾、寶馬、英偉達等汽車和供應商企業，在今年來都被曝出遭遇黑客攻擊的事件，其中不乏交過贖金后依舊遭“背刺”的丑聞。事實上，Uber在2016年10月就曾遭遇黑客攻擊，被竊取了5700萬名乘客和司機的個人數據。而在面對黑客的曝光威脅時，該公司時任首席安全官喬·沙利文（Joe Sullivan）和副手選擇向前者支付10萬美元的贖金。

更荒謬的是，優步聯合創始人、前CEO卡蘭尼克到了一個月之后，才知道了這件事。而喬·沙利文直到一年之后，才被公司開除。

盡管上述新聞都是關于國外汽車企業，但中國境內的汽車企業遭遇黑客攻擊和勒索的情況也時有發生。只不過因為各種原因，被媒體曝光的案例并不多。事實上據筆者了解，很多車企在面對黑客勒索時，甚至傾向于采用“息事寧人”的方式，支付贖金以求低調處理。而不是像蔚來這樣，硬懟回去。

“當然，蔚來這次被要的贖金太高，遠超行業水平。”上述專家對筆者說道。

回到蔚來這次的數據泄露事件。盡管黑客從蔚來竊取用戶數據，后者存在保護不力的責任，但李斌的這番坦誠表態，的確值得肯定。接下來蔚來要做的，便是明確到底哪些用戶的哪些數據遭遇了泄露，以及蔚來會給出怎樣的賠償方案。更重要的是，后續蔚來將在哪些方面加強信息安全建設，盡所有可能杜絕此類事件的再次發生。

不過就筆者此前與諸多信息安全行業專家的交流可知，就像世界上沒有絕對安全的保險柜一樣，也不存在絕對安全的數據庫。只要這個數據庫的內容需要被實時訪問、調用和修改，那么黑客總能找到可供攻擊的漏洞。

從這個角度來講，這也許就是智能汽車的代價所在。用戶都渴望能獲得一輛越來越聰明，能夠及時乃至提前預判自己需求的汽車。但這必然意味著，我們需要將自己的社會信息、行為數據乃至生物數據交給汽車企業。而這些數據，也就同樣面對著被泄露的風險。

也就是說，用戶需要控制自己的預期，車企也要守住自己的邊界。

建立這個意識，對于我們中國人民來說尤其重要。畢竟對于很多人的心態，某個大佬有著堪稱“話糙理不糙”的經典描述：

關鍵詞： 黑客攻擊 業內人士大多數車企給黑