网络攻击正在海外车企频频上演,而国内第一家遭遇“黑客”攻击的造车新势力落在了蔚来头上。
“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”12月20日晚间,蔚来汽车董事长李斌针对此前发生的数据泄露事件发表了致歉声明。
(资料图)
同天下午,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,12 月 11 日蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据为由勒索225万美元(约 1570.5万元人民币)等额比特币。
蔚来声明部分截图
从网上流传的图片来看,无论是蔚来内部员工还是用户都成为了勒索对象。其中,从总裁到一线员工,蔚来的内部员工被泄露数据228000条。车主用户身份证数据3990000条,地址数据650000条……同时,黑客也对其进行了勒索要价,大致区间在0.1-0.25比特币不等。
在收到勒索邮件后,蔚来当天即成立了专项小组进行调查应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
虽然对于所谓的“黑客偷袭”一事,官方多次向相关用户发表道歉声明,但依然引发了巨大的争议。从蔚来官方社区评论来看,多数用户的关注点在于:数据是如何被窃取?损失在多少并且是否已经止损?以及如何防止类似事件的发生等?
车企遭遇攻击不断
回看今年的新闻事件,汽车企业在今年遭遇网络安全攻击又何止蔚来一家。今年1月份,19岁的德国安全研究人员表示,他在特斯拉的系统中发现一处软件漏洞,并通过该漏洞远程入侵了13个国家的逾25辆特斯拉电动汽车,使其关闭安全系统。同时,他还能实施远程运行命令,包括:禁用哨兵模式、打开门窗,甚至通过其无钥匙驾驶功能启动汽车。
无独有偶,丰田也遭遇了一场严重的“黑客”袭击。3月初,丰田一家生产零部件供应商遭到网络攻击系统停住运行,日本工厂不得不被迫关闭一天。其中,这家供应商损失了包括属于丰田汽车的1.4TB数据、采购订单、电子邮件和图纸。
这也不是丰田汽车第一次遭受大规模网络攻击。早在2019年,丰田汽车遭到黑客攻击,旗下多家在日本的子公司310万用户信息受到影响。这些信息包括用户姓名、地址、出生日期、身份信息和就业方面的敏感信息。
此外,2020年菲亚特克莱斯勒汽车公司在遭到黑客入侵后,不得不召回47.1万辆存在安全风险的汽车。去年2月,一群黑客袭击了起亚美国公司,并发出了勒索攻击,声称关闭了诸如UVO Link应用程序、支付系统、经销商后台等重要服务,开价404.5833比特币解密数据。
截至目前,不止上述企业,包括沃尔沃、本田、通用、大众、BBA等多家汽车制造商或供应商在内都遭遇过数据安全威胁。
此前,Upstream针对2010年到2021年底900多起汽车黑客事件,总结出最常见的十种攻击方式依次为:服务器、无钥匙进入/钥匙扣、ECU/TCU、移动应用、信息娱乐、IT网络、DBD端口、传感器、Wi-Fi、车载网络。
其中,超过40%的黑客攻击服务器,尤其是OEM的服务器;26.3%的选择无钥匙进入/钥匙扣;12.2%入侵ECU/TCU。
越来越多的汽车网络安全事件也在引发行业的思考:智能化该如何维护车企和车主的安全?
智能化是把双刃剑
在汽车行业,如果将新能源汽车比作上半场,那么智能网联决定了下半场。一方面,处在新能源汽车转型时代,智能化的确为用户带来了诸多便利,也成为各大车企竞相追逐的修罗场;另一方面,相比于燃油车,电动车在数据安全方面也在面临前所未有的危机。
针对在美车企多次遭遇网络攻击,美国联邦调查局(FBI)和美国国家公路交通安全管理局(NHTSA)曾联合发表安全声明表示,随着汽车内使用的联网电子元件越来越多,汽车被黑客控制的风险也越来越大。同时,美国司法部门也曾公开指出,网络互联汽车和无人驾驶汽车正成为黑客的攻击目标。放眼国内,清华大学车辆与运载学院教授杨殿阁表示,智能汽车是一个移动的网络节点,被攻击后,车辆可能会被控制,进而引发社会公共安全问题。
而此次遭遇黑客攻击的主角蔚来,有行业人士表示,在国内新能源车企里,蔚来是第一个遭遇较大规模数据泄露的企业。他推断,本次的数据泄露,可能不会对车辆本身造成影响。不过,无论此次黑客袭击是否会对企业造成经济上的损失,我们更应该思考的是用户的隐私安全又该如何维护?
一周前,有车主在网上爆料,自己所驾驶的广汽埃安S因为没有及时去4S店更换电池,被厂家远程锁车,并显示“启动功能被禁止”。车主强调,该车是自己全款购买的,没有欠下车贷,在远程锁车之前能正常行驶,目前开了不到3万公里。
显然,无论是黑客攻击车企,还是车企远程控制车主,最终受损的依然是用户本身。随着汽车智能化的普及,目前市面上绝大多数车型都开始具备车联网以及OTA升级等功能,这种汽车监控在一定程度上的确算是无微不至。但细想下来,无时无刻的监控本身就存在着争议。
争议点在于,一方面,汽车厂家对于用户的相关数据是否拥有掌控权?比如,特斯拉一直声称自己的自动驾驶技术领先全球,而其依靠的却是大量车主产生的自动驾驶数据进行优化。既然数据直接存储在特斯拉的服务器数据库中,一旦行车过程中出现交通事故,那么事故的责任方又该归谁?
另一方面,这辆广汽埃安S的用户本身是全款购车。在大众认知里,自己全额购买的商品,理应完整拥有这件商品的所有权。那么厂家有没有权利对车主使用情况进行干涉?
毫无疑问,伴随着汽车智能化的发展,接踵而来的数据安全问题将是未来一大挑战。