電動汽車智能化大敵來了,蔚來汽車『泄密門』,驚醒買車人。


來源:一號企業家《ID:yihaocaijing1)作者:金水

一號說:『電動爹』,將無所不知?

發生在2022 NIO Day 數日前的用戶信息泄露事件,像一個蒙面刺客在暗影中刺出一劍,直指蔚來汽車《9866.HK》最敏感而薄弱的部分。

智能化的未來如果是以數據安全為代價,蔚來車主還願意承受嗎?

當你買了一輛新能源汽車後,你的身份證、用戶地址,甚至親密關系、貸款數據都被壞人竊取,並且拿到網上販賣?

蔚來的12萬車主,都有可能面臨著這樣的風險。

日前,蔚來汽車就用戶數據遭竊取發表致歉聲明,證實了此前用戶數據泄露的傳聞。

聲明顯示,遭竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

電動汽車智能化大敵來了,蔚來汽車『泄密門』,驚醒買車人。
李斌在蔚來官方社區致歉

在數據安全領域有一定影響力的360公司的董事長周鴻禕,近期在其快手號上表示,竊取用戶信息進行勒索,已大行其道,甚至:

成為了國際上的『一種商業模式』。

12月25日,蔚來董事長李斌表示,2023年,銷量目標是超過雷克薩斯燃油車銷量,即銷量將達到19萬-23萬輛。

那麼,這20萬左右的車主,會不會再次面臨個人信息泄密呢?

2023年將進入智能化的下半場,涉及到的用戶數據將會更多。

甚至於,新能源汽車之所以能夠實現智能化,源自於用戶讓渡了大量的個人數據。

一直以來,車主的數據都被新能源車企視為其重要的財富。

那麼,車企,乃至行業該如何確保車主的數據不會泄露?

或涉12萬蔚來車主

12月25日,在蔚來媒體交流會上,蔚來創始人李斌再次談及數據泄露事件時表示,蔚來『堅決不妥協』。

而此前12月20日,蔚來已就用戶數據遭竊取發表致歉聲明。


蔚來集團發佈公告回應

此前一張流傳於網絡的圖片就已經顯示,有人『破解了蔚來大量數據』,且公開出售,以比特幣結算。

據這張圖片,所售數據包括蔚來員工數據、訂單數據、車主身份證、用戶地址,另外,車主親密關系、貸款數據等信息也可以出售。

這些信息不僅涉及蔚來公司的機密,也涉及蔚來車主的隱私。

當時,這些敏感的隱私信息,已被一一明碼標價。

如2.28萬條員工數據,標價0.15比特幣,3.99萬條車主用戶身份證數據,標價0.25比特幣;而全部數據打包出售,價格僅僅為:

1比特幣


網絡流傳圖片

這些遭竊取數據,經蔚來初步調查,主要為2021年8月之前蔚來的部分用戶基本信息和車輛銷售信息。

那麼,哪些蔚來車主信息可能已被竊取呢?

公開資料顯示,在2021年的8月之前,即2021年1-7月,蔚來累計交付了49887臺汽車;

2020年全年,交付量達43728臺;

2019年全年,交付量達20565臺;

2018年全年,交付量達11348臺,共計125528臺。

即,此次用戶數據泄密,或涉及12萬左右蔚來車主。

據財聯社,針對廣大可能信息已經泄露了的蔚來車主,蔚來客服表示,如近期遇到涉及蔚來的陌生來電,需小心謹慎。

蔚來也因此次數據泄密,遭到勒索。

12月11日,蔚來收到外部郵件,顯示遭到勒索金額為225萬美元等額比特幣。

蔚來並沒有透露是否交了勒索金,但表示,收到勒索郵件後,當天即成立專項小組進行調查與應對,並第一時間向有關部門報告。

在數據安全領域有一定影響力的360公司的董事長周鴻禕近期表示,目前,此類勒索組織已大行其道。

一些重要單位遭到勒索之後,國內的勒索金額大概平均在500萬人民幣到1000萬人民幣,國外的勒索金額是在500萬美金到1000萬美金。

周鴻禕表示:『它已經變成了一種商業模式』。

360車聯網安全首席科學家明亮也指出,現在網絡空間面對的不再是『小蟊賊』,而是『大玩家』,有『高級持續性威脅、勒索軟件攻擊』特征。

針對用戶數據泄露一事,蔚來汽車客服人員表示,不會對廣大車主做出主動賠償,但『對因本次事件給用戶造成的損失承擔責任』。

目前已有不少自媒體質疑,車主、用戶該如何向蔚來證明遭遇了損失?尋求蔚來賠償的程序會不會很復雜?

12月25日,蔚來董事長李斌表示,2023年,銷量目標是超過雷克薩斯燃油車銷量,即銷量將達到19萬-23萬輛。

這20萬左右的車主,會不會再次面臨個人信息的泄密呢?

智能汽車更易信息泄露

明亮表示,近三年,汽車網絡攻擊事件快速增加。

其實,不止蔚來,國內的很多車企都遭受國數據泄露和勒索。

2021年6月,大眾汽車曾表示,有將近330萬名客戶或潛在買家的數據遭泄露。

具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。

2021年12月,沃爾沃汽車運營的研發數據遭黑客入侵。

當時,沃爾沃稱,公司有限數量的研發財產被盜,並稱 『可能對公司的運營產生影響』。

2022年5月,通用汽車發佈聲明稱,2022年4月11日-29日期間,部分在線客戶賬戶出現了可疑登錄,導致在未經用戶授權的情況下,客戶的獎勵積分被兌換成了禮品卡。

2022年10月,豐田汽車在一份聲明中表示,使用T-connect服務的約29.6萬名客戶的個人信息可能已被泄露。

而且,此前的2022年2月,豐田汽車就遭到網絡攻擊,導致其日本工廠全面停產。

另外,車企有關車主、用戶信息被竊取後,一般都會面臨巨額勒索。

2021年2月,起亞汽車遭到勒索軟件攻擊,贖金達2億元。

蓋世汽車研究院的報告顯示,幾乎所有主流車企,都遭受過網絡安全影響,數據安全是重點。


蓋世汽車研究院的報告

相較於普通汽車,智能汽車的信息安全形勢更為嚴峻。

其一、智能汽車之所以能夠實現『智能化』,源於用戶讓渡了大量個人數據。

這些數據不僅包括車輛的基本信息,還包括車輛的位置,乃至車內空間的視頻和音頻等。

其二、汽車智能化是『軟件決定汽車』,其中的軟件代碼十分多,如高階自動駕駛汽車的軟件代碼量將達到3億-5億行,而業內的『規律』是,每百萬行代碼缺陷或漏洞數量在600個左右,這意味著,代碼眾多的智能汽車容易被攻擊的漏洞十分多。

其三、車聯網中,智能汽車受外界的網絡攻擊入口也將增多。

這些攻擊的入口包括無鑰匙進入、車內網絡、USB卡槽、OBD和傳感器等近場攻擊,也包括通過wifi、4G/5G網絡等中程攻擊,還包括主機廠、運營商等雲端遠程攻擊。

縱觀過去10年,汽車網絡安全事件頻發,據Upstream Security統計,截止目前,汽車網絡安全攻擊事件已接近千起。

在近千起事件中,數據/隱私泄露占比最高,為39.9%。

另外,汽車被盜/侵入占比27.9%、控制車輛系統占比24.2%,服務中斷占比18.2%。

你還買智能汽車嗎?

智能汽車的數據安全方面,不僅包括個人信息易泄露之外,還涉及到行車等其他方面的安全。

你買了一臺智能汽車,看似這臺汽車歸你所有,但是,黑客隻需一臺筆記本電腦,就可能解鎖或啟動你的汽車,能夠做到遠程按喇叭,甚至在行車途中突然遠程剎車。

這是福佈斯雜志12月21日引用網絡安全研究人員警告時的報道,當時,網絡人員主要針對的是本田和日產車主。

目前的車聯網,使得網絡黑客很容易找到漏洞,攻入車輛內部,繼而控制車輛行駛,給行車安全帶來危險。

另外,智能汽車上大量的視覺、激光雷達、毫米波雷達等傳感器在行駛過程中,會不斷掃描路面和周圍交通環境,獲取大量地理信息,這就涉及更高層次的安全問題了。

據傳,不少國內公職人員以及在特殊部門工作人員,是不允許購買特斯拉智能汽車的。

即使購買了,也不能隨便開到他們單位內,這就是基於安全考慮。

有時候,智能汽車個人信息容易泄露的特點,也能起到正面的作用。

美國移民和邊境管理人員2022年關注重點,就是汽車黑客工具。

通過黑客手段,可以從汽車上收集潛在證據,這比從智能手機上獲得的更多,這大大增加他們管理工作的便利性。

從如今數據安全保護的嚴峻性方面來看,智能汽車主機廠、行業管理部門,都要快速行動起來。

首先,主機廠要強化數據安全管理,在數據的采集、傳輸、存儲、使用等過程中,要從從技術上保證這些數據的安全;另外,主機廠不能僅僅將這些數據僅僅視為自身的『富礦』,而是要重視這些數據的保護,在使用中要合理合法合規。

其次,作為智能汽車行業,也要迅速建立起安全監測機制,把政、產、學、研連接起來,共同構建數據安全監測能力,確保數據泄露隱患在萌芽狀態時就被預警。

這不僅利於行業發展,對主機廠也很有必要,能確保主機廠在車輛發生風險時能及時知曉。

總之,智能化是汽車產業發展的重要趨勢,而數據是實現智能化的基石。

保護數據安全,不能阻礙技術創新。

要平衡好技術創新與數據安全的關系,確保技術不斷創新,最終用技術的手段解決好智能汽車的數據泄露問題。