文 | 周天財(cái)經(jīng)

周天財(cái)經(jīng) 原創(chuàng)出品

近日，正在二代線產(chǎn)能爬坡期的蔚來(lái)汽車遭到黑客勒索了。

勒索者在對(duì)外公布的勒索信中寫道：近日來(lái)我們破解了蔚來(lái)汽車大量數(shù)據(jù)，同時(shí)給了蔚來(lái)兩次機(jī)會(huì)，但是蔚來(lái)寧愿花費(fèi)千萬(wàn)請(qǐng)歌手，也不愿意買斷這部分?jǐn)?shù)據(jù)來(lái)保護(hù)各位車主和用戶，因此我們決定有償曝光。

泄漏數(shù)據(jù)包括：蔚來(lái)內(nèi)部員工數(shù)據(jù) 22800 條，包含總裁到一線員工的信息，售價(jià) 0.15 比特幣。車主用戶身份證數(shù)據(jù) 399000 條，售價(jià) 0.25 比特幣。此外，還有用戶地址數(shù)據(jù) 650000 條，蔚來(lái)注冊(cè)用戶數(shù)據(jù) 4850000 條。企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù) 10000 條。甚至還有 490000 條訂單數(shù)據(jù)和 90000 條退單數(shù)據(jù)。

從上述泄漏數(shù)據(jù)來(lái)看，黑客很可能拿到了蔚來(lái)汽車內(nèi)網(wǎng)和銷售后臺(tái)的權(quán)限，似乎和工業(yè)生產(chǎn)以及車輛自身安全無(wú)關(guān)，但這足以給包括蔚來(lái)在內(nèi)的車企以一記警鐘。

對(duì)此，12 月 20 日晚，蔚來(lái)官方社區(qū)緊急發(fā)布的一則《關(guān)于數(shù)據(jù)安全事件的聲明》坐實(shí)了這則勒索，蔚來(lái)稱，2022 年 12 月 11 日，蔚來(lái)公司收到外部郵件，聲稱擁有蔚來(lái)內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索 225 萬(wàn)美元等額比特幣。

蔚來(lái)方面表示，在收到勒索郵件后公司當(dāng)天即成立專項(xiàng)小組講行調(diào)查與應(yīng)對(duì)，并第一時(shí)間向有關(guān)監(jiān)管部門報(bào)告此事件。經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。蔚來(lái)對(duì)此次事件對(duì)用戶造成的影響深表歉意，并鄭重承諾，對(duì)因本次事件給用戶造成的損失承擔(dān)責(zé)任。

這樣的信息泄漏，很可能動(dòng)搖用戶信心。根據(jù) 2020 年 6 月美國(guó)國(guó)際數(shù)據(jù)管理公司 Veritas Technologies 的一項(xiàng)調(diào)查研究顯示，44％的消費(fèi)者表示會(huì)停止從遭受過(guò)勒索軟件攻擊的公司購(gòu)買商品。

蔚來(lái)汽車創(chuàng)始人李斌也道歉稱：保護(hù)好用戶信息是我們的責(zé)任，我們沒(méi)有做好，深表歉意，會(huì)對(duì)此承擔(dān)責(zé)任。同時(shí)，會(huì)追查到底，不會(huì)與不法行為妥協(xié)，也請(qǐng)大家及時(shí)提供線索。

一位網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)始人告訴周天財(cái)經(jīng)，類似的勒索其實(shí)并不罕見(jiàn)。「但凡有點(diǎn)價(jià)值（的企業(yè)和行業(yè)），都會(huì)被勒索一輪，很多企業(yè)一年會(huì)被勒索三輪。哪怕是交了贖金后，仍然會(huì)不停被勒索。」

該創(chuàng)始人談道：我們每個(gè)禮拜都能碰到企業(yè)中了什么勒索，被勒索了多少。這種事件是經(jīng)常發(fā)生的，事件發(fā)生之后是很難解決的。要么就是付勒索幣，要么就是提前部署安全防護(hù)。

但可惜的是，多位安全專家談道，安全其實(shí)是一種隱性需求，一家車企有明確的業(yè)績(jī)指引和考核，比如要賣多少輛車，燒掉多少市場(chǎng)推廣費(fèi)用，這些都是清晰的，但是唯獨(dú)安全這類未雨綢繆的工作，在惡性事件發(fā)生前，車企是缺乏概念的，「車企是不知道自己有這個(gè)需求的」。

從投入層面可見(jiàn)一斑，一位從事物聯(lián)網(wǎng)安全業(yè)務(wù)的企業(yè)家告訴周天財(cái)經(jīng)：「很多車企安全投入的預(yù)算和市場(chǎng)預(yù)算是非常不成比例的，市面上那么多大的安全項(xiàng)目，很少看到車企們?cè)谕度搿＼嚻竽酥琳麄€(gè)制造業(yè)，對(duì)于網(wǎng)絡(luò)安全都缺乏足夠的重視。」

甲方付費(fèi)意愿差，也讓網(wǎng)絡(luò)安全企業(yè)普遍有挫敗感，他們?cè)谛袠I(yè)交流會(huì)議中反映，市場(chǎng)開(kāi)拓和市場(chǎng)教育非常困難。關(guān)于這一點(diǎn)，其實(shí)勒索方也在勒索信中談到，其給過(guò)蔚來(lái)兩次機(jī)會(huì)，但蔚來(lái)似乎沒(méi)有引起重視，「寧愿請(qǐng)歌星花幾千萬(wàn)，也不愿付贖金」。

一家位于上海的物聯(lián)網(wǎng)安全企業(yè)就對(duì)周天財(cái)經(jīng)談到：物聯(lián)網(wǎng)的大甲方，比如汽車制造業(yè)、新能源產(chǎn)業(yè)，業(yè)主一般收到的是一堆二進(jìn)制的 firmware 的 blackbox，物理安全和供應(yīng)鏈安全都缺乏保障。在物理和虛擬世界的融合地帶安全是極其脆弱的，會(huì)暴露出巨大的攻擊面。「很多芯片的系統(tǒng)版本從 3 點(diǎn)幾到 5 點(diǎn)幾的都有，版本上跨越了十年，很混亂，很難靠軟件層面就來(lái)彌合這樣的跨度，芯片和攝像頭上往往存在一堆漏洞，而最初開(kāi)發(fā)的人很多都離職了，這就是我們今天面臨的較為普遍的安全現(xiàn)狀，可以說(shuō)還處在刀耕火種的時(shí)期」。

而且很多企業(yè)的信息系統(tǒng)往往交給多家供應(yīng)商來(lái)開(kāi)發(fā)和部署，銜接和合作會(huì)出現(xiàn)問(wèn)題，有時(shí)候?qū)訉油獍粋€(gè)系統(tǒng)可以有 20 個(gè)參與方，出了事情后，很難快速定位到漏洞所在和責(zé)任方。一位網(wǎng)絡(luò)安全從業(yè)者就談道，「解決問(wèn)題的過(guò)程就是四處找責(zé)任人和經(jīng)辦人，最后往往發(fā)現(xiàn)是非常弱智非常低級(jí)的錯(cuò)誤，比如一個(gè)配置錯(cuò)誤或供應(yīng)商的網(wǎng)絡(luò)中斷問(wèn)題」。

其實(shí)，汽車企業(yè)被勒索并非新鮮事。

本田汽車就在 2017 年遭遇 wannacry 勒索軟件的攻擊，這影響了其日本一家裝配廠的生產(chǎn)。到 2020 年，本田汽車又遭受了一種名為 Snake 的勒索軟件攻擊。Snake 使用 Golang 編寫，被加密文件末尾追加 EKANS，在被該軟件攻擊后，被攻擊者只能繳納贖金，才能恢復(fù)文件。這款勒索軟件的波及面很廣，影響了本田的計(jì)算機(jī)服務(wù)器、電子郵件以及其他內(nèi)網(wǎng)功能。

豐田也未能幸免，2021 年，豐田便因零部件供應(yīng)商受到「勒索軟件」攻擊，決定停止日本全國(guó)所有工廠運(yùn)行。此次勒索攻擊造成的停產(chǎn)大約影響 1 萬(wàn)輛汽車的生產(chǎn)，約占到豐田汽車在日本國(guó)內(nèi)月銷量的 5%，給企業(yè)造成巨大經(jīng)濟(jì)損失。

本田和豐田遇到的是勒索軟件對(duì)工業(yè)控制系統(tǒng)的攻擊，直接影響的是生產(chǎn)安全，和蔚來(lái)此番遭遇有所不同，但對(duì)制造業(yè)來(lái)說(shuō)，保衛(wèi)網(wǎng)絡(luò)安全已迫在眉睫。根據(jù)趨勢(shì)科技委托獨(dú)立研究專家 Vanson Bourne 對(duì)美國(guó)、德國(guó)和日本 500 名 IT 和 OT 專業(yè)人員進(jìn)行的調(diào)查結(jié)果顯示，61% 的制造商在其智能工廠經(jīng)歷過(guò)網(wǎng)絡(luò)安全事件，75% 的制造商因此遭受系統(tǒng)中斷，其中 43% 持續(xù)了 4 天以上。IBM X-Force 網(wǎng)絡(luò)安全情報(bào)部門也發(fā)布一項(xiàng)調(diào)研報(bào)告，報(bào)告指出，在 2021 年，制造業(yè)已經(jīng)取代金融和保險(xiǎn)行業(yè)成為遭受網(wǎng)絡(luò)攻擊最多的行業(yè)。

制造業(yè)和互聯(lián)網(wǎng)發(fā)生交集，當(dāng)汽車成為一個(gè)數(shù)字終端，越發(fā)「連接一切」的時(shí)候，網(wǎng)絡(luò)安全就成為必須修煉的內(nèi)功，從工業(yè)制造的供應(yīng)鏈安全到銷售管理乃至車輛自身防劫持，都對(duì)汽車制造業(yè)提出了很高的安全要求。蔚來(lái)汽車這次的遭遇是不幸的，希望蔚來(lái)能把損失減少到最低，同時(shí)也期待整個(gè)汽車產(chǎn)業(yè)早日加強(qiáng)安全能力建設(shè)，防患于未然。