汽车数据安全警报再次拉响!
12月20日晚,蔚来汽车在其官方社区发布声明,确认2021年8月之前的部分用户基本信息和车辆销售信息数据被黑客窃取。黑客向蔚来汽车勒索1567万元等值的比特币。随后,蔚来汽车创始人、董事长兼CEO李斌在公开向用户表达歉意的同时,并表示“不会与不法行为妥协”。李斌这一不妥协的态度,受到用户广泛好评,同时这一事件在行业内引起诸多关注。
窃取数据敲诈勒索
“我们还在进一步调查数据泄露的原因和影响范围。”12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方社区中,对日前网络上有人出售蔚来相关数据的情况进行了回应,承认了相关信息泄露的情况,但同时表明泄露的信息不包括智能座舱、行车轨迹等车上数据,也不影响车辆的驾乘和远程控制。
根据已公布的信息,泄露的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、车主身份证、用户地址,甚至车主紧急联系人、车主贷款数据等隐私信息。而且,这些信息被明码标价,价格均以比特币为单位,如2.28万条员工数据售价0.15比特币,3.99万条车主用户身份证数据售价0.25比特币;全部数据打包售价1比特币。
“在北京等限牌城市,购买蔚来等品牌的电动汽车,用户不仅需要提交购车指标、身份证、驾驶证、社保卡及工作居住证、手机号等信息,而且还需要更多个人信息。”蔚来车主张先生告诉记者,提车之后,蔚来APP中还会让用户填写行驶证、车辆配置、车架号、发动机号、车辆VIN码(每辆车的全球唯一编码,相当于车辆身份证)等,这些均是必填信息。同时,在蔚来这样的智能网联汽车上,由于自带4G或5G通信模块,也需要按照主管部门规定进行实名认证。很多车型都需要在其APP上进行人脸识别+身份证号识别认证。
尽管蔚来此次的被勒索事件还在调查之中,但基本可以肯定的是,此次黑客从蔚来窃取的还只是部分车主数据而已,黑客的窃取途径目前也并不清楚。
数据安全问题凸显
蔚来的这次用户数据被窃事件,在汽车行业已经不是第一次。
10月7日,丰田表示,使用该公司T-Connect车联网的29.6019万个电子邮件地址和客户电话号码可能被泄露,受影响的客户为自2017年7月以来使用电子邮件地址在该服务网站注册的个人。
此前,通用汽车提交给加利福尼亚州监管机构的一份数据泄露报告显示,有黑客在今年4月入侵了部分通用汽车客户的线上账户,黑客可能获得了用户地址、电话号码和其他个人信息。据悉,这些入侵行为在某些情况下可以让黑客得以使用客户账户中的奖励积分兑换礼品卡。
今年5月,英国曼彻斯特安全公司NCC集团的首席安全顾问SultanQasimKhan表示,一种针对特斯拉ModelS和ModelY的黑客攻击方法能够让盗贼解锁车门并启动电机,并指出这种攻击方式也适用于特斯拉之外的车辆,只不过他在演示的时候选择了一辆特斯拉汽车。而今年1月,一名美国青年技术专家称在特斯拉的系统中发现了一个软件漏洞,并成功尝试远程入侵了13个国家的25辆特斯拉汽车。
360车联网安全实验室报告表明,在测试的国内25家车企的53款在售车型中,测试发现了1600余个漏洞,其中包含1000个云端漏洞,这些漏洞可能导致黑客远程批量控制同一品牌的所有汽车终端;车端漏洞600多个,这些漏洞可能让黑客通过非接触方式,近距离控制汽车的车门、发动机等。
“蔚来数据被窃事件表明,智能电动汽车的数据安全风险与日俱增。”成都新能源汽车产业推广应用促进会秘书长范永军向记者表示,由于智能电动汽车本身具备的智能化、网联化特征,使其成为一个移动数据终端,也成为被黑客窃取和攻击的潜在目标。因此,智能电动汽车的数据安全问题已经成为当前汽车安全的重要组成部分,受到国内外车企的高度重视,很多车企也在开发与车型适配的一些安全技术,如奔驰E对车载互联应用和车辆的功能安全模块做了区间隔离,即使是专业研究团队也无法破解被测试车辆的任何关键安全功能。
中国市场学会(汽车)营销专家委员会秘书长薛旭告诉记者,提升智能汽车数据安全,通常采用的方式主要包括,一是提升全产业链数据安全管理水平,通过“区块链+智能网联汽车”技术融合,结合一些数据加密手段,可以显著提升汽车数据安全管理水平;二是加强数据传输网络安全防护。通常情况下,数据窃取和黑客入侵都是通过网络来实现,因此,通过网络入侵检测和防护技术创新,构筑多层网络防护和多重检测技术,就可以更大限度地防范网络入侵;三是利用密码技术,通过前装安全密码模块或选择国密算法在智能网联汽车各个关键环节上提升数据安全防护能力。
完善措施依法治理
汽车数据安全领域,随着带宽的增加、网速的提升、数据量的大幅增加,窃取与反窃取、黑客与反黑客一直是技术演进的课题。
对于黑客的勒索,很多企业并不买账。今年3月,日本电装也曾遭遇黑客攻击,有超过15.7万份订单、电子邮件和设计图纸等共计1.4TB的数据资料疑被泄露,并被黑客索要赎金,但电装并未理睬。今年8月,德国汽车零部件巨头大陆集团被曝遭遇网络攻击,在拒绝支付赎金后,黑客威胁称要将包括大陆集团预算、投资和战略规划,以及客户相关信息在暗网出售,大陆集团也没有去理会。
同样是数据窃取与勒索,有的企业就认为,只要交纳“赎金”,问题就可以解决,但是,实际情况恰恰相反。2016年10月,优步就曾遭遇黑客攻击,被窃取了5700万名乘客和司机的个人数据。而在面对黑客的曝光威胁时,该公司时任首席安全官和副手选择向黑客支付10万美元(约合人民币69万元)的赎金,但并未起到任何作用。之后,该首席安全官被公司开除。
面对类似蔚来汽车数据被窃这样的事件,又该如何应对呢?“依法管理汽车数据是最为可靠的手段。”范永军表示,截至目前,我国已经出台了相关的法律法规,如2021年9月1日,《中华人民共和国数据安全法》实施,2021年10月1日,五部门制定的《汽车数据安全管理若干规定(试行)》实施,但由于我国智能汽车技术发展迅速,在很多领域特别是数据安全领域都处于行业前沿,已经出台的相关法律法规只是作了原则性规定,对于汽车数据的窃取等新型网络违法行为的规定不够细致,需要在实践中进一步完善相关法律法规,使蔚来汽车数据被窃类似事件能在法律框架内及时得到严厉惩治,让违法者望而生畏,汽车及用户数据安全环境才能得到有效治理。
当前,中国智能电动汽车行业正在飞速成长,数据已经成为了推动行业增长的重要生产要素,得到产业链上下游的空前重视。“应对恶意窃取汽车用户数据,需要主管部门、执法机关、行业组织、汽车企业的共同努力,要不断完善相关的技术标准和法律法规,在全社会形成有法可依、知法守法、依法打击的良好法治环境,不断满足用户对数据安全的期待,从而护航智能电动汽车实现高质量发展。”薛旭认为。