距离蔚来年度发布会NIO Day,仅剩4天时,蔚来汽车突然爆出“惊天大雷”。
12 月 20 日下午,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布一份《关于数据安全事件的声明》公告,称当日,有不法人士在网上出售蔚来相关数据。
卢龙还在声明中还原了事情的原委,其表示:2022 年 12 月 11 日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元(约为 1570.5 万元人民币)等额比特币。
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
随后,蔚来创始人、董事长李斌在蔚来官方社区就用户数据泄露一事发文致歉。同时也声明“不会与不法行为妥协”。卢龙则进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。
诚然,对于“黑客偷袭”一事,官方多次向相关用户发表道歉声明,但依然引发了巨大的争议。多数用户的关注点在于:数据是如何被窃取?损失在多少并且是否已经止损?以及如何防止类似事件的发生等?
车企数据安全问题频发
随着车辆智能化程度的不断加深,从门锁、车机屏幕到数据后台,乃至汽车企业本身,都在成为黑客们的攻击目标。而遭遇黑客攻击和勒索的情况在国外早已屡见不鲜。
今年1月份,19岁的德国安全研究人员表示,他在特斯拉的系统中发现一处软件漏洞,并通过该漏洞远程入侵了13个国家的逾25辆特斯拉电动汽车,使其关闭安全系统。
同时,他还能实施远程运行命令,包括:禁用哨兵模式、打开门窗,甚至通过其无钥匙驾驶功能启动汽车。
丰田也遭遇了一场严重的“黑客”袭击。3月初,丰田一家生产零部件供应商遭到网络攻击系统停住运行,日本工厂不得不被迫关闭一天。其中,这家供应商损失了包括属于丰田汽车的1.4TB数据、采购订单、电子邮件和图纸。
今年8月,德国汽车零部件巨头大陆集团同样被曝出遭遇了网络攻击,在拒绝支付赎金后,黑客威胁称要将包括大陆集团预算、投资和战略规划,以及客户相关信息在暗网出售。
除此之外,包括现代、起亚、沃尔沃、通用、大众、宝马、英伟达等汽车和供应商企业,在今年以来都被曝出遭遇黑客攻击的事件,其中不乏交过赎金后依旧遭“背刺”的丑闻。
尽管上述新闻都是关于国外汽车企业,但中国境内的汽车企业遭遇黑客攻击和勒索的情况也时有发生。只不过因为各种原因,见诸报端的案例并不多。
事实上,一位在行业中多年负责信息安全业务的专业人士对媒体表示:“很多车企在面对黑客勒索时,大多数会采用“息事宁人”的方式,支付赎金以求低调处理。只有未来这么‘刚’”。
当然,蔚来这次被要的赎金太高,远超行业水平。
智能化是把“双刃剑”
回到蔚来这次的数据泄露事件。尽管黑客从蔚来窃取用户数据,后者存在保护不力的责任,但蔚来的坦诚表态,的确值得肯定。
接下来蔚来要做的,便是明确到底哪些用户的哪些数据遭遇了泄露,以及蔚来会给出怎样的赔偿方案。更重要的是,后续蔚来将在哪些方面加强信息安全建设,尽可能杜绝此类事件的再次发生。
这也是所有车企需要亟待解决的共性问题。
在汽车行业,如果将新能源汽车比作上半场,那么智能网联决定了下半场。一方面,处在新能源汽车转型时代,智能化的确为用户带来了诸多便利,也成为各大车企竞相追逐的修罗场;另一方面,相比于燃油车,电动车在数据安全方面也在面临前所未有的危机。
据统计,一辆智能网联汽车每天会产生大约10TB的数据,驾乘人员的出行轨迹、驾乘习惯、车内语音图像等个人信息都面临着被泄露的风险。黑客可通过网络攻击劫持或控制车辆行驶,实施关闭引擎、突然制动、开关车门等操控。2020年全球针对智能网联汽车的攻击达到280余万次。
随着汽车智能化的普及,目前市面上绝大多数车型都开始具备车联网以及OTA升级等功能,这种汽车监控在一定程度上的确算是无微不至。但无时无刻的监控本身就存在着争议。
事实上,根据诸多信息安全行业专家的表述可知,不存在绝对安全的数据库。只要这个数据库的内容需要被实时访问、调用和修改,那么黑客总能找到可供攻击的漏洞。
这或许就是智能汽车的代价所在。用户都渴望能获得一辆越来越聪明,能够及时乃至提前预判自己需求的汽车。但这必然意味着,我们需要将自己的社会信息、行为数据乃至生物数据交给汽车企业。而这些数据,也就同样面对着被泄露的风险。
毫无疑问,伴随着汽车智能化的发展,接踵而来的数据安全问题将是未来一大挑战。