文|科技新知 苌乐
编辑|伊页
蔚来摊上事儿了。
12月20日,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发布公告:
在这个月11日的时候,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(1568万元人民币)等额比特币。
创始人李斌随即发布道歉声明,称“绝不向不法行为妥协”。
很快,#蔚来用户数据遭窃取被勒索225万美元#、#李斌致歉#等词条冲上热搜,引起热议。
几天后的平安夜,即将迎来蔚来汽车的2022年度NIO Day,在蔚来的官方首页,吸睛的倒计时跳动着数字,此时此刻被推上风口浪尖的李斌,如坐针毡、如芒刺背、如鲠在喉,留给他的时间不多了。
被上了一课
事情经初步调查,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
一时间网友炸了锅,有的人声讨蔚来不保护用户隐私安全,有的人表示网络安全事件频发,无奈却理解。
为了安抚用户情绪,20日晚间,创始人李斌在蔚来官方社区就用户数据泄露一事发文致歉。
李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
可是据《Tech星球》报道,针对用户数据泄露一事,蔚来汽车客服人员表示,不会做出主动赔偿,但“对因本次事件给用户造成的损失承担责任。”
划一下重点:目前蔚来采取的做法是不主动、不负责,只有用户真的因为这件事造成了损失才会承担责任。
1500万人民币,蔚来不想花,李斌也不想花。那怎么办?只能报警了。可纸是包不住火的。
所以,据蔚来所说,12月11日那一天接到了“恐吓信”,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。可直到一周有余之后的20日,才向公众公开此事。
两处漏洞
数据到底是如何泄露的?是黑客攻击,还是员工泄露?此次事件疑点重重。
“快2023年了还能中勒索病毒,这IT得烂成啥样?”一网友如此评论,表示对于企业遇到黑客攻击事件不理解。
事实上,数据泄露时时刻刻发生。根据Identify Theft Research Center中心的数据显示,与2021年同期相比,2022年第一季度实际报告的数据泄露事件数量增加了14%,达到404起。
新能源车市场攻城容易守城难。根据乘联会最新数据显示,2022年1月到11月,蔚来汽车累计销量为106671台。相比去年同期,其销量上涨了31.8%。
然而,销量上涨背后,一些基础设施也许并未跟上,这才导致蔚来被上了一课。
如果是黑客所为,那么对方一定是掐好了时间点,特意选定的“良辰吉日”,因为12月24日,年度盛典NIO Day就要开始了。事情还在发酵,留给蔚来的时间不多了。
历史证明,已经有不少企业为数据泄露买单,而根源就在于IT系统的安全性太低。Identify Theft Research Center数据报告提到重要的一点,数据泄露事件大多数是由网络钓鱼和勒索软件攻击引发的,其他还包括恶意软件、凭证填充和不安全的云工具。
具体案例也很多,今年一家国外企业Beetle Eye就发生了一起重大数据泄露事故,由于AWS S3存储桶未进行任何加密且配置错误,泄露了大约700万人的敏感数据。
还有,微软在2020年公开了一起长达14年的数据泄露事故,期间2.5亿条客户服务和支持记录在网上泄露。公司表示,个人数据在存储之前已从记录中删除,但一些明文电子邮件和IP地址被暴露。最后,微软将其归因于内部数据库安全规则的错误配置。
还有一种可能,那就是内部管理对于数据安全的缺失,导致内部员工有意或无意泄露。
今年4月,蔚来在一份内部通知中表示,2021年9月1日风险管理部门收到相关投诉,声称一位员工利用职位之便,使用公司内部服务器进行了以太坊挖矿,时间长达一年以上。
蔚来强调,该行为已经违反法律,同时也对公司系统安全和业务信息安全产生了负面影响。该涉事员工已承认了自己的行为。
挖矿不仅占用CPU资源影响正常服务,还会产生大量的耗电。但蔚来在一年多的时间中都没有发现这一点,足以证明其内部管理存在漏洞。
即便有了“前车之鉴”,可似乎蔚来并没有怎么放在心上。截至「科技新知」发稿,蔚来依旧没有找到此次数据泄露的“罪魁祸首”。但可以肯定的是,无论何时,企业都不应将数据安全单纯地托付给任何一款工具,小到员工培训,大到公司的策略和管理,这些环节缺一不可。
然而,这件事情背后也映射出一个更为深刻的问题。根据网上流传的消息,黑客向蔚来喊话:“给了蔚来两次机会,但是宁愿花费千万请歌手,也不愿买断这部分数据。”这种重营销、轻技术的商业歪风,何时才能到头?
数据定义软件
有些损失是不可挽回的。
自开启交付至2021年7月,蔚来汽车共计交付12.55万辆汽车。超过12万车主的身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息,都成为不法分子索要巨额钱财的筹码。
即使蔚来认栽赎回,然而电子数据是可复制的,或许这些信息早已散落在各个隐秘的角落。
虽然,卢龙称本次数据泄露并不影响车辆驾乘或远程控制,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据);也有分析人士表示,这次泄露的数据,大部分是存储在后端、数据库或者云端的个人数据,黑客如果选择攻击车辆本身,还是有一定的技术门槛,而汽车本身有车载的安全网关也会进行拦截。
但是,用户的不信任,就是一件一件小事聚沙成塔。蔚来此事,似乎又唤起了网友以及用户对于新能源汽车的种种担忧,更是重新挑起了新能源和燃油车两派拥护者之间的矛盾。
“如果数据安全都这么水,自动驾驶不是很危险?”“知道为啥买燃油车了吧,电车还是不成熟。”有网友如此评论。
都说软件能定义一切,因此这些年汽车赛道也刮起了“软件定义汽车”的风。现如今,软件+汽车还是一门好生意吗?
看好派认为,软件将在技术、产品、运营理念、组织架构等方面给汽车产业带来全面改变,例如这两年兴起的OTA,就是从软件的逻辑出发,能使用户从线上进行系统升级和更新。
想让软件发挥最大价值的前提就是收集海量数据,这些沉淀下来的数据,不仅仅是企业的资产,更是属于整个社会的共同资产。
一旦数据管理出现问题,小则影响用户隐私,大则威胁国家安全。因此,种种信号表明,野蛮生长的时期已经结束了,尤其是被软件定义的新能源汽车。
去年9月,工信部印发了《关于加强车联网网络安全和数据安全工作的通知》,在加强数据安全保护、健全安全标准体系等六方面提出17项具体要求。
今年4月,工信部联合公安部、交通运输部等五部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》,明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。
可以预见的是,智能网联汽车在中国的数据管控力度,还会进一步加大。
至于蔚来,以及其他车企,无论乐意与否,都应该尽快摆脱未成年人的心态。在冲销量的同时,不要忘记对用户、社会多负责。
在软件定义一切的时代,人们想生活变得更智能,就得交出数据的管理、使用权。
去年9月,一位2020款理想ONE车主向媒体反应称,理想汽车车机更新时出现的“理想智能系统软件许可协议”,只给了同意选项,不同意协议甚至无法继续用车。
最隐私、最珍贵的东西被别人攥在手里,除了心里默念“但愿受伤的那个人不是我”之外,别无选择。可是,谁又能真的逃过?
评论