数据防泄露、数据安全保护不能只靠“嘴硬”

文字 | 数学，作者 | 辛斯基，编辑 | 贾乐乐

12月11日，蔚来收到一封勒索邮件。

勒索者索要225万美元等值比特币（约合人民币1560万元），筹码是他掌握了2021年8月前蔚来的部分用户基本信息和车辆销售信息。

20日，蔚来对外发表声明：“公司对此予以严厉谴责，绝不向网络犯罪低头。” 对用户造成的损失负责。”

面对有组织的数据敲诈，蔚来的立场异常强硬。

12月25日，蔚来董事长李斌表示，2023年的销量目标是超过雷克萨斯燃油车销量。 据推算，目标将定在20万辆以上。

数据泄露将如何影响潜在的车主？ 为什么车企频频被勒索数据？ 在数字化、网络化时代，车企如何保障车主的信息安全乃至行车安全？ 本文将回答这些问题。

01 车企敲诈事件为何频发？

蔚来不是第一个，也不会是最后一个被车企敲诈的。

2016年，优步被黑客窃取了5700万乘客和司机的个人数据；

2018 年，网络安全公司 UpGuard 的研究人员发现，包括特斯拉、丰田和大众在内的数百家汽车公司的机密文件可以被轻易访问；

现代、起亚、沃尔沃、通用、大众、英伟达等汽车及供应商企业近年来均被曝出黑客事件；

2021年，特斯拉陷入“隐私门”事件。 一名黑客发现，特斯拉车内的摄像头可以清晰记录驾乘人员的一举一动、姿态甚至微表情……

为什么数据泄露和勒索经常发生在车企身上？

，汽车公司拥有大量数据并且极其重要。

在汽车智能化、网络化进程中，海量数据被上传至云端，云端服务器成为网络攻击的最新目标。

对于车企来说，这些数据涉及消费者隐私，甚至是行车安全。 为了品牌形象和维护客户关系，利用数据敲诈几乎等同于利用车企。

环球时报和君地联合调查数据显示，88.4%的受访者担心将个人信息转卖给第三方； 77.3%担心被偷拍后个人隐私信息被非法传播或勒索； 62.9%担心因账号被盗导致私人财产损失，51.8%担心被袭击后车辆失控。 近90%的受访者表示更愿意选择注重数据安全和敏感个人信息保护的汽车品牌。

因此2019比特币黑客攻击事件，在以往发生的数据勒索事件中，车企很少像蔚来这样大胆，更多的时候是选择支付赎金了事。

以上述Uber为例，事发后，时任首席安全官的Joe Sullivan及其副手选择支付10万美元赎金，但最终，Joe Sullivan被解雇。

其次，相比在暗网上销售，敲诈勒索的收入要高得多，黑客为了高收入而承担高风险。

公开资料显示，此次蔚来泄露了包括总裁在内的22800条内部员工数据； 485万条注册用户数据； 近40万条车主用户ID数据； 65万条用户地址数据。

其他包括企业和企业代表的联系方式； 订单和退款数据； 车主亲密关系数据； 贷款数据等，向蔚来勒索225万美元等值比特币。

如果勒索不成功，勒索者往往会选择在暗网上出售他们持有的数据。

据悉，今年6月，179万条奥迪汽车的销售数据在暗网标价200美元； 8月，德国汽车零部件巨头大陆集团遭遇网络攻击。 拒绝支付赎金后，黑客威胁将包括预算、投资和战略规划在内的客户相关信息在暗网上出售； 同样在8月2019比特币黑客攻击事件，200万条长安汽车用户数据在Breached Forums上标价2万美元。

当然，能敲诈公司的基本都会和武德告别，拿着赎金转身卖给暗网，吃二鱼一鱼，这种事情也不是没有可能。

一方面是敲诈勒索金额高，另一方面是信任问题。 蔚来“公司输了破产也不会妥协”的态度无可厚非。

至于会不会导致破产，可以参考现在更名为“Meta”的Facebook。 它曾以 7.25 亿美元的价格了结隐私诉讼。 蔚来的信息泄露员工和用户的赔偿数额可能不会那么大。 但李斌已经做好了最坏的打算。

不过，比起蔚来是否会破产，用户更关心的是智能汽车如何给用户带来安全感。

02 越高级越脆弱

蔚来此次数据泄露，更多的是涉及到个人隐私。 对于消费者来说，车内空间考虑的是生活空间的属性，因此相较于手机隐私泄露，消费者对车内个人隐私泄露更为敏感。

上述调查还显示，77.4%的受访者对智能网联汽车收集、使用和分享个人敏感信息表示非常或有些担忧。

41%的受访者对当前智能汽车商业化能否妥善保护个人敏感信息没有信心或信心不足； 只有30.4%的受访者相对有信心或非常有信心。

预计数据勒索事件后，有信心的消费者比例将进一步下降。

尽管蔚来首席信息安全科学家陆龙强调“不会影响车辆的行驶或远程控制”。 但消费者最担心的是“经常在河边走，怎么能不湿鞋”。

消费者的担忧不无道理。

2015年7月，在车辆数字化率远低于今天的情况下，一辆行驶中的JEEP切诺基SUV被两名美国白帽黑客入侵CAN总线，控制车辆的发动机、变速箱、制动、转向等系统，并转向车辆直接在路边的斜坡下。

2019年8月，360旗下Sky-Go汽车威胁研究团队在高端奔驰E级轿车中发现了19个安全漏洞，在车联网控制单元（TCU）中发现了6个漏洞，直接允许黑客操作MCU访问车辆的CAN总线以控制开门甚至启动发动机。

一个共识是，现在是软件定义汽车的时代。 软件直接影响用户体验，并将继续变得越来越重要。

相应地，随着车载操作系统、自动驾驶系统、车联网平台等技术和产品的引入，智能汽车内部的软件会越来越多，涉及的代码也会越来越复杂。

中国软件行业协会智能网联汽车产业分会秘书长张健曾预测，2025年生产的智能汽车代码量有望达到7亿行，相比2022年增长2.3倍。

数据显示，代码水平应达到“很好”和“优秀”水平，每百万代码缺陷或漏洞数量应控制在“600-1000”和“600以下”。 如果一辆智能汽车有2亿个代码，即使代码级别达到“很好”，对应的缺陷也超过12万个，带来的风险无法评估。

正如360的周鸿祎所说，数字时代新的网络威胁比过去严重得多，而且越先进越容易受到攻击。

此外，随着整车数字化程度的不断提高，车辆对“云”的依赖程度越来越高，黑客入侵移动智能终端乃至云后台的危险性也明显增加。

面对车辆安全问题，特斯拉创始人马斯克回应360创始人周鸿祎的提问：汽车不存在安全问题，因为不像安卓，软件可以随便下载。 但当周鸿祎问及车厂OTA服务器被劫持后怎么办时，马斯克选择了沉默。

在“2022世界互联网大会乌镇峰会”上，周鸿祎公开表示，“大家都对特斯拉赞不绝口，说自动驾驶好，特斯拉还有云脑，如果云脑的数据被攻击瘫痪，很多智能网联汽车就躺下吧。” 这也解释了马斯克为何在“OTA服务器被劫持”的问题上保持沉默，因为对于车企来说，OTA服务器被劫持等同于“无”。

03 数据安全是个大工程

要保证智能汽车数据的安全，需要从硬件到软件，从产品到车企的认知，方方面面都要考虑。

360车联网安全首席科学家梁明表示，“智能网联汽车是数字工业化和产业数字化的交叉点，实际上是软件重新定义汽车，改变的不仅仅是汽车架构，还有安全性。汽车的网络安全和人身安全将齐头并进。”

在保障人身安全方面，智能汽车的趋势更有利于提供安全服务。

以智能率较低的Free Light和奔驰E为例。 由于CAN总线的控制，两者都失控了。 这主要是因为在CAN总线时代，一个发送信息的节点会占据所有的通信媒介，发送节点只关心自己。 发送时，不管是谁接收的，总线上的所有通信节点都会接收到信息。

也就是说，只要控制了连接在CAN总线上的一个通信节点，就可以控制CAN总线的车辆指挥中心，黑客自然就可以为所欲为。

但在以太网时代，信息传输是点对点的，带来的好处是计算平台更加集中，可以从CAN总线时代的100多个ECU减少到3-5个DCU，是经典的博世五域架构，车身域、智能座舱域（信息娱乐域）、底盘域、智能驾驶域和动力域。

特斯拉将车身域、底盘域、智能驾驶域合并为一个域，叠加智能座舱域和动力域三个域后，整车计算单元迅速集中，将逐步演化为中央计算系统。未来。

越来越少的计算硬件更有利于车企、安防企业提供精准的安全服务。 汽车行业数据勒索事件的增多，凸显了当前汽车厂商对数据安全的疏忽。

知名安全研究机构筑龙实验室负责人李宇认为，车企应加强安全意识培训； 研究新的安全产品和新技术，车辆本身的安全是一方面，其他应用系统的保护也必须加强，因为任何一个站点如果被攻破，最终的输家都是用户。

目前，车企主要着眼于对车辆电子电气架构的升级，但缺乏整体安全意识的提升。

以苹果为例，为了让大陆消费者放心，特意在中国建设数据中心，随后特斯拉、福特、宝马等车企相继宣布在大陆建立数据中心，将所有数据保存在大陆。国内销售的汽车在本地数据中心。

尽管蔚来设法将数据存储在大陆，并坚持以自主研发的智能驾驶系统控制车辆，但显然并没有进一步提升企业的安全防范意识，让勒索者有机可乘。

新京报援引网络快刀创始人曲子龙的话说：“此次泄密很可能是蔚来自身‘工商管理背景’造成的，与以往大多数互联网公司数据泄密一样，应该是个问题“在某系统中。结果导致数据库“断库”。当然具体是如何泄露的，还要看蔚来自己的调查结果。”

离库是指不法分子利用网站上的SQL注入漏洞，获取数据库中的信息。 虽然这是互联网公司最常见的数据泄露原因，但也很难预防。

必须承认，在当前信息技术日新月异的背景下，单靠车企来应对车身控制、用户隐私数据等多维度的数据安全问题，确实是一个非常大的挑战。

04结语

“汽车的漏洞永远存在，我们只能自卫，在攻防中找到最佳平衡点，保护汽车厂商智能汽车的安全，同时增加车联网安全的竞争优势。” 特斯拉的华人爆料者刘建豪曾说过。

据中国工程院数据，仅今年上半年，针对车联网平台的网络恶意行为就超过100万次。

虽然大多数攻击都被阻止了，但随着智能汽车的普及，车企的压力只会越来越大。

除了加大研发投入，选择靠谱的供应链公司也是加强企业数据安全最常见的方式。 以发现奔驰E安全漏洞的360为例。 自2014年以来，已为超过80%的主流汽车制造商提供安全技术和服务。

数据安全领域没有绝对的安全，但消费者交出的隐私数据和车辆控制相关的数据应该放在更高的层次上。

参考：

[ 1 ] 《李斌就数据泄露向蔚来致歉：表示不会妥协，不会影响行车或远程控制》，澎湃新闻；

[2] 《除蔚来外，大部分车企都曾向黑客支付过赎金》，虎嗅；

[ 3 ] 《360修复奔驰19个潜在漏洞，背后反映了什么？》 》，车运网；

[4]《蔚来数据泄露被勒索1500万，智能汽车安全挑战重重》，读懂车迪；

[ 5 ] 《蔚来深陷“用户数据泄露门”，新能源汽车行业数据安全谁来买单？ 》，新京报；

[ 6 ] 《域控制器，汽车电子电气架构演进下的黄金赛道》，平安证券；

[7]《网络隐患堵在智能汽车起跑线上》，经济参考报；

[8]《新能源汽车深度挖掘全生命周期价值》，新华社；

[9]《新创落地主周期来临，期待估值轮动持续修复》，光大证券