文 | 周天財經(jīng)

周天財經(jīng) 原創(chuàng)出品

近日，正在二代線產(chǎn)能爬坡期的蔚來汽車遭到黑客勒索了。

勒索者在對外公布的勒索信中寫道：近日來我們破解了蔚來汽車大量數(shù)據(jù)，同時給了蔚來兩次機(jī)會，但是蔚來寧愿花費(fèi)千萬請歌手，也不愿意買斷這部分?jǐn)?shù)據(jù)來保護(hù)各位車主和用戶，因此我們決定有償曝光。

泄漏數(shù)據(jù)包括：蔚來內(nèi)部員工數(shù)據(jù) 22800 條，包含總裁到一線員工的信息，售價 0.15 比特幣。車主用戶身份證數(shù)據(jù) 399000 條，售價 0.25 比特幣。此外，還有用戶地址數(shù)據(jù) 650000 條，蔚來注冊用戶數(shù)據(jù) 4850000 條。企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù) 10000 條。甚至還有 490000 條訂單數(shù)據(jù)和 90000 條退單數(shù)據(jù)。

從上述泄漏數(shù)據(jù)來看，黑客很可能拿到了蔚來汽車內(nèi)網(wǎng)和銷售后臺的權(quán)限，似乎和工業(yè)生產(chǎn)以及車輛自身安全無關(guān)，但這足以給包括蔚來在內(nèi)的車企以一記警鐘。

對此，12 月 20 日晚，蔚來官方社區(qū)緊急發(fā)布的一則《關(guān)于數(shù)據(jù)安全事件的聲明》坐實(shí)了這則勒索，蔚來稱，2022 年 12 月 11 日，蔚來公司收到外部郵件，聲稱擁有蔚來內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索 225 萬美元等額比特幣。

蔚來方面表示，在收到勒索郵件后公司當(dāng)天即成立專項(xiàng)小組講行調(diào)查與應(yīng)對，并第一時間向有關(guān)監(jiān)管部門報告此事件。經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。蔚來對此次事件對用戶造成的影響深表歉意，并鄭重承諾，對因本次事件給用戶造成的損失承擔(dān)責(zé)任。

這樣的信息泄漏，很可能動搖用戶信心。根據(jù) 2020 年 6 月美國國際數(shù)據(jù)管理公司 Veritas Technologies 的一項(xiàng)調(diào)查研究顯示，44％的消費(fèi)者表示會停止從遭受過勒索軟件攻擊的公司購買商品。

蔚來汽車創(chuàng)始人李斌也道歉稱：保護(hù)好用戶信息是我們的責(zé)任，我們沒有做好，深表歉意，會對此承擔(dān)責(zé)任。同時，會追查到底，不會與不法行為妥協(xié)，也請大家及時提供線索。

一位網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)始人告訴周天財經(jīng)，類似的勒索其實(shí)并不罕見?！?strong>但凡有點(diǎn)價值（的企業(yè)和行業(yè)），都會被勒索一輪，很多企業(yè)一年會被勒索三輪。哪怕是交了贖金后，仍然會不停被勒索。」

該創(chuàng)始人談道：我們每個禮拜都能碰到企業(yè)中了什么勒索，被勒索了多少。這種事件是經(jīng)常發(fā)生的，事件發(fā)生之后是很難解決的。要么就是付勒索幣，要么就是提前部署安全防護(hù)。

但可惜的是，多位安全專家談道，安全其實(shí)是一種隱性需求，一家車企有明確的業(yè)績指引和考核，比如要賣多少輛車，燒掉多少市場推廣費(fèi)用，這些都是清晰的，但是唯獨(dú)安全這類未雨綢繆的工作，在惡性事件發(fā)生前，車企是缺乏概念的，「車企是不知道自己有這個需求的」。

從投入層面可見一斑，一位從事物聯(lián)網(wǎng)安全業(yè)務(wù)的企業(yè)家告訴周天財經(jīng)：「很多車企安全投入的預(yù)算和市場預(yù)算是非常不成比例的，市面上那么多大的安全項(xiàng)目，很少看到車企們在投入。車企乃至整個制造業(yè)，對于網(wǎng)絡(luò)安全都缺乏足夠的重視。」

甲方付費(fèi)意愿差，也讓網(wǎng)絡(luò)安全企業(yè)普遍有挫敗感，他們在行業(yè)交流會議中反映，市場開拓和市場教育非常困難。關(guān)于這一點(diǎn)，其實(shí)勒索方也在勒索信中談到，其給過蔚來兩次機(jī)會，但蔚來似乎沒有引起重視，「寧愿請歌星花幾千萬，也不愿付贖金」。

一家位于上海的物聯(lián)網(wǎng)安全企業(yè)就對周天財經(jīng)談到：物聯(lián)網(wǎng)的大甲方，比如汽車制造業(yè)、新能源產(chǎn)業(yè)，業(yè)主一般收到的是一堆二進(jìn)制的 firmware 的 blackbox，物理安全和供應(yīng)鏈安全都缺乏保障。在物理和虛擬世界的融合地帶安全是極其脆弱的，會暴露出巨大的攻擊面?！负芏嘈酒南到y(tǒng)版本從 3 點(diǎn)幾到 5 點(diǎn)幾的都有，版本上跨越了十年，很混亂，很難靠軟件層面就來彌合這樣的跨度，芯片和攝像頭上往往存在一堆漏洞，而最初開發(fā)的人很多都離職了，這就是我們今天面臨的較為普遍的安全現(xiàn)狀，可以說還處在刀耕火種的時期」。

而且很多企業(yè)的信息系統(tǒng)往往交給多家供應(yīng)商來開發(fā)和部署，銜接和合作會出現(xiàn)問題，有時候?qū)訉油獍粋€系統(tǒng)可以有 20 個參與方，出了事情后，很難快速定位到漏洞所在和責(zé)任方。一位網(wǎng)絡(luò)安全從業(yè)者就談道，「解決問題的過程就是四處找責(zé)任人和經(jīng)辦人，最后往往發(fā)現(xiàn)是非常弱智非常低級的錯誤，比如一個配置錯誤或供應(yīng)商的網(wǎng)絡(luò)中斷問題」。

其實(shí)，汽車企業(yè)被勒索并非新鮮事。

本田汽車就在 2017 年遭遇 wannacry 勒索軟件的攻擊，這影響了其日本一家裝配廠的生產(chǎn)。到 2020 年，本田汽車又遭受了一種名為 Snake 的勒索軟件攻擊。Snake 使用 Golang 編寫，被加密文件末尾追加 EKANS，在被該軟件攻擊后，被攻擊者只能繳納贖金，才能恢復(fù)文件。這款勒索軟件的波及面很廣，影響了本田的計算機(jī)服務(wù)器、電子郵件以及其他內(nèi)網(wǎng)功能。

豐田也未能幸免，2021 年，豐田便因零部件供應(yīng)商受到「勒索軟件」攻擊，決定停止日本全國所有工廠運(yùn)行。此次勒索攻擊造成的停產(chǎn)大約影響 1 萬輛汽車的生產(chǎn)，約占到豐田汽車在日本國內(nèi)月銷量的 5%，給企業(yè)造成巨大經(jīng)濟(jì)損失。

本田和豐田遇到的是勒索軟件對工業(yè)控制系統(tǒng)的攻擊，直接影響的是生產(chǎn)安全，和蔚來此番遭遇有所不同，但對制造業(yè)來說，保衛(wèi)網(wǎng)絡(luò)安全已迫在眉睫。根據(jù)趨勢科技委托獨(dú)立研究專家 Vanson Bourne 對美國、德國和日本 500 名 IT 和 OT 專業(yè)人員進(jìn)行的調(diào)查結(jié)果顯示，61% 的制造商在其智能工廠經(jīng)歷過網(wǎng)絡(luò)安全事件，75% 的制造商因此遭受系統(tǒng)中斷，其中 43% 持續(xù)了 4 天以上。IBM X-Force 網(wǎng)絡(luò)安全情報部門也發(fā)布一項(xiàng)調(diào)研報告，報告指出，在 2021 年，制造業(yè)已經(jīng)取代金融和保險行業(yè)成為遭受網(wǎng)絡(luò)攻擊最多的行業(yè)。

制造業(yè)和互聯(lián)網(wǎng)發(fā)生交集，當(dāng)汽車成為一個數(shù)字終端，越發(fā)「連接一切」的時候，網(wǎng)絡(luò)安全就成為必須修煉的內(nèi)功，從工業(yè)制造的供應(yīng)鏈安全到銷售管理乃至車輛自身防劫持，都對汽車制造業(yè)提出了很高的安全要求。蔚來汽車這次的遭遇是不幸的，希望蔚來能把損失減少到最低，同時也期待整個汽車產(chǎn)業(yè)早日加強(qiáng)安全能力建設(shè)，防患于未然。