您的位置:首页 > 互联网

蔚来坑客户「除了蔚来,大多数车企都给黑客赎金了」

发布时间:2022-12-22 23:47:08  来源:互联网     背景:


出品丨虎嗅汽车组

作者丨周到

编辑丨张博文

最有效的家用美容仪

头图丨视觉中国

每当有好事临近,总会有坏事前来添堵。

高科技电池

12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方APP发布声明,对日前网络上有人出售蔚来相关数据的情况进行了回应。在该声明中,蔚来承认了确实存在用户基本信息和车辆销售信息泄露的情况,并遭遇到了黑客约225万美元的重金勒索。

而这距离蔚来年度发布会NIO Day,仅剩下4天时间。


在发布声明后,蔚来创始人、董事长兼CEO李斌在评论区对用户表达了歉意,同时也声明“不会与不法行为妥协”。卢龙则进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。

诚然,蔚来的这一次用户数据泄露又一次为车企敲响了信息安全的警钟,然而在公开报道之外,黑客对车企数据库的共计并不鲜见。一位在行业中多年负责信息安全业务的专业人士告诉笔者:

“面对黑客攻击,大多数车企都选择直接交赎金了事,只有蔚来这么‘刚’。”

这一次,黑客盗走了哪些数据?

从声明和高管回复可以看出,目前已经被确认窃取的数据,为2021年8月之前部分用户基本信息和车辆销售信息。然而,笔者提车的时间,恰恰就是2021年的7月4日。

“这不巧了么不是。”

所以,黑客有可能从蔚来的数据库里,窃取了笔者的哪些信息?

分析这个问题,我们可以从下订到购买,以及日常的使用,蔚来都从笔者这里搜集了哪些信息入手。坦率来说,这个信息不算少。

首先,是个人基础信息。在订车过程中,笔者的手机号、身份证等信息已经交给了蔚来APP或相关工作人员。而在北京、上海等限牌城市,购买蔚来这样的电动车,用户还需要给厂商提交购车指标或社保卡及工作居住证等信息。


而在完成提车后,蔚来APP中还会搜集用户的行驶证、车辆配置、车架号等信息。其中行驶证上关于家庭住址的信息与身份证上一致,而发动机号、车辆VIN码(每辆车的全球唯一编码,相当于车辆身份证)等也赫然在列。

5G全连接工厂


除此之外,蔚来由于是自带4/5G通讯模块的智能汽车,因此基于主管部门的要求还需要实名认证后才能使用物联网功能。为此,笔者还在蔚来APP进行了人脸识别+身份证的认证。这其中产生的数据,有没有被偷走的可能?

此外,车主信息中还包括了紧急联系人的姓名及电话,云相册(车内摄像头拍摄的用户合影)、车辆配置信息等等数据。如果这些被黑客卖给了犯罪分子,其结果恐怕不容乐观。虽然笔者向来遵纪守法,不具备罪犯们的想象力,但从此前汽车行业遭遇黑客破解的案例可以看出,车辆以及车主信息的被窃,可以给用户造成多大的麻烦。

早在2016年,日产Leaf(即东风日产的启辰晨风)电动车就被曝出存在安全漏洞。该漏洞存在于电动汽车的配套车载应用程序之中,黑客可以通过漏洞,在获知车辆VIN码后,对具体到某辆车的车主近期行程进行监控。更要命的是,黑客还可以通过该漏洞,远程操控该车辆的空调、门锁等功能。轻则让用户车辆因电量耗光而趴窝,重则可以用远程开锁将车内财物洗劫一空。

当然,此次黑客从蔚来窃取的还只是车主数据而已,并不存在程序安全漏洞,且其具体泄露的信息种类和范围尚未公布。但如果有骗子从黑客手中获得了笔者的姓名、身份证号、车牌号以及紧急联系人的信息后,很可能就会发生“谎称发生事故,要求家里人给医院打钱”的故事情节。

尽管一切还都只是猜测,但想一想就让人不寒而栗了。

不过根据网络上流传的信息,黑客从蔚来数据库中窃取的信息不止于上述提到的车主数据。上到总裁下到一线员工和车主等各个群体的信息,黑客“尽在掌握”。


这条信息的真假不论,单仅黑客的态度就让笔者感到气愤:就算蔚来在每年NIO Day上花钱去请大牌演艺明星助阵,这也是企业正常且合规合法的营销行为。这笔钱就算再多,也和给黑客交保护费不是一个性质。既然已经在卖黑产了,又何必打出“替天行道”的招牌?

当然经此一役后,蔚来肯定意识到,除了在研发、营销和服务上花大钱之外,数据库的信息安全建设也不能遭遇厚此薄彼了。

黑客:如何花式勒索车企

事实上,近几年汽车行业遭遇黑客攻击和勒索的情况屡见不鲜。随着车辆智能化程度的不断加深,一辆车上的弱点也越来越多。从门锁、车机屏幕到数据后台,乃至汽车企业本身,都在成为黑客们的攻击目标。

这样的例子实在太多,笔者挑几个很典型的分享给各位。这其中有大家耳熟能详的德系豪华品牌,也有支撑起匠心日系车的世界级供应商。

首先来看奔驰。在2019年8月,来自奇虎360事业部Sky-Go的中国专家团队专门研究了汽车黑客活动,他们发现了奔驰E级轿车中的19个漏洞,其中包括一些可以被攻击者利用以远程入侵车辆的问题。据介绍,通过这些漏洞,黑客可以远程解锁车门并启动国产奔驰E级的发动机,“仅在中国,该漏洞就可能影响200万辆汽车”。


与此同时,专家们还注意到,奔驰的后端服务器与“ Mercedes me”移动应用程序之间缺乏身份验证,这使用户可以远程控制汽车的多种功能。研究人员解释说,一旦他们访问了后端,就可以控制中国境内大量奔驰汽车。

当然,不幸中的万幸是奔驰对车载互联应用和车辆的功能安全模块做了区隔,研究团队无法破解被测试车辆的任何关键安全功能。

接着是日本电装株式会社(Denso)遭遇黑客攻击事件。在今年3月,日媒报道称该公司超过15.7万份订购单、电子邮件和设计图纸等共计1.4TB的资料疑被泄露,并被黑客索要赎金。虽然电装公司发言人对此消息表示拒绝评论,但也承认该公司检测到其位于德国的子公司在本周四遭遇过未授权登录并使用勒索软件。据悉,电装公司最初由丰田汽车中独立而来,是后者乃至多家日系车企的供应商,目前在超过30个国家和地区设有170余家子公司。

值得一提的是,仅在半个月前另一家丰田供应商小岛冲压工业被黑客袭击,导致丰田汽车日本所有工厂停工一天。

而在今年8月,德国汽车零部件巨头大陆集团被曝出遭遇了网络攻击,在拒绝支付赎金后,黑客威胁称要将包括大陆集团预算、投资和战略规划,以及客户相关信息在暗网出售。


除此之外,包括现代、起亚、沃尔沃、通用、大众、宝马、英伟达等汽车和供应商企业,在今年以来都被曝出遭遇黑客攻击的事件,其中不乏交过赎金后依旧遭“背刺”的丑闻。事实上,Uber在2016年10月就曾遭遇黑客攻击,被窃取了5700万名乘客和司机的个人数据。而在面对黑客的曝光威胁时,该公司时任首席安全官乔·沙利文(Joe Sullivan)和副手选择向前者支付10万美元的赎金。

更荒谬的是,优步联合创始人、前CEO卡兰尼克到了一个月之后,才知道了这件事。而乔·沙利文直到一年之后,才被公司开除。

尽管上述新闻都是关于国外汽车企业,但中国境内的汽车企业遭遇黑客攻击和勒索的情况也时有发生。只不过因为各种原因,被媒体曝光的案例并不多。事实上据笔者了解,很多车企在面对黑客勒索时,甚至倾向于采用“息事宁人”的方式,支付赎金以求低调处理。而不是像蔚来这样,硬怼回去。

“当然,蔚来这次被要的赎金太高,远超行业水平。”上述专家对笔者说道。

回到蔚来这次的数据泄露事件。尽管黑客从蔚来窃取用户数据,后者存在保护不力的责任,但李斌的这番坦诚表态,的确值得肯定。接下来蔚来要做的,便是明确到底哪些用户的哪些数据遭遇了泄露,以及蔚来会给出怎样的赔偿方案。更重要的是,后续蔚来将在哪些方面加强信息安全建设,尽所有可能杜绝此类事件的再次发生。


蔚来汽车背后财团

不过就笔者此前与诸多信息安全行业专家的交流可知,就像世界上没有绝对安全的保险柜一样,也不存在绝对安全的数据库。只要这个数据库的内容需要被实时访问、调用和修改,那么黑客总能找到可供攻击的漏洞。

从这个角度来讲,这也许就是智能汽车的代价所在。用户都渴望能获得一辆越来越聪明,能够及时乃至提前预判自己需求的汽车。但这必然意味着,我们需要将自己的社会信息、行为数据乃至生物数据交给汽车企业。而这些数据,也就同样面对着被泄露的风险。

也就是说,用户需要控制自己的预期,车企也要守住自己的边界。

建立这个意识,对于我们中国人民来说尤其重要。毕竟对于很多人的心态,某个大佬有着堪称“话糙理不糙”的经典描述:



返回网站首页

本文评论
adobe和福昕软件对比_对比PDFelement,Adobe Acrobat,福昕PDF到底谁才是年度性价比之王
  凭借着信息保真、体积小、内容形式丰富、便于展示等特性,PDF早已成为职场、教育等领域的“宠儿级”文件格式。此前,Adobe在全球PDF市场的地位无可撼动,无论是技术实力,还是...
日期:12-21
行业恶性竞争加剧 法律道德沦为花瓶-3Q大战一周年祭
  北京金诚同达律师事务所高级合伙人 汪涌   2010年,互联网行业恶性竞争事件频发,引发了社会各界的广泛关注。受害企业在依法维权的同时,行业协会、监管机构等也被迫介入...
日期:07-24
华为 Pocket S 512GB 版本今日开售:搭骁龙 778G 4G,7488 元
IT之家 12 月 30 日消息,华为 Pocket S 的 128GB 和 256GB 版本已于上月开售,512GB 版本今日 10:08 正式开售,售价 7488 元。华为 Pocket S 采用 6.9 英寸柔性屏设计,采用黄金观...
日期:12-30
网易云音乐2022年度音乐奖揭晓「网易云音乐2020年度盛典」
12月27日消息,今日,网易云音乐2022年度音乐奖揭晓,薛之谦《无数》、TaylorSwift《Midnights(3amEdition)》、(G)I-DLE《INEVERDIE》、宇多田ヒカル《BADモード》分别获得年度最...
日期:12-27
青少年仍对iPhone和Apple Watch感到兴奋 而对VR则不那么感冒「apple watch对学生有什么用」
一项针对美国青少年的调查表明,下一代人仍然对iPhone超级兴奋,而且越来越多的人在手腕上绑上了Apple Watch。分析公司Piper Sandler对美国青少年的半年期调查显示,自上次报告以...
日期:10-15
CPU-Z数据库曝光酷睿i3-13100:4C/8T无小核 疑似12代马甲提频
在持续数周的传闻之后,@TUM_APISAK 刚刚在 Twitter 上晒出了 i3-13100 台式处理器的 CPU-Z 截图,确认了英特尔仍在制造四核处理器 —— 尽管是以酷睿入门 SKU 的形式。不过作...
日期:10-12
向未成年人熬夜游戏说不!腾讯游戏推“零点巡航”加码护航
  为针对性解决未成年人冒用成年人身份在夜间偷玩游戏的问题,7月5日,腾讯游戏在现有人脸识别验证的基础上进一步强化,正式上线“零点巡航”功能。   “零点巡航”旨在对...
日期:09-18
抖音的主力用户是「抖音抖客成功的核心。」
声明:本文来自于微信公众号 十里村(ID:shilipxl),作者:村长住在十里村,授权转载发布。各位村民好,我是村长。这个国庆假期里发现许多朋友都没闲着,朋友圈出现了人都在许多推广各种...
日期:10-17
顺丰速运国际电商专递正式开通新马泰服务_马顺国际快递
10月10日消息,顺丰速运官网今日发布消息称,由2022年10月10日起,顺丰速运国际电商专递正式开通寄往新马泰的服务。凭借特惠价格,不收取燃油附加费,一票即可选择上门收件或于顺丰香...
日期:10-10
淘宝88vip有哪些视频会员「阿里88VIP内测接入腾讯视频会员」
10 月 11 日讯:据科创板日报报道,针对“阿里88VIP正内测接入腾讯视频会员”的报道,88VIP客服表示,即将上线,具体上线时间以页面显示为准。米家扫地机器人app下载...
日期:10-28
挑战“王者”Adobe:微软免费P图软件Designer开始内测
上个月,微软曾宣布将推出图像处理软件Designer”,并明确表示将以图形设计领域的王者”Adobe作为主要竞争对手。赛力斯九月销量现在,Designer正式开启了小范围内测。从流出的软...
日期:11-17
地方网站抓住用户需求才能实现新增长(网站的用户需求)
电商直播的马太效应 小灵通退出市场上海电信5g覆盖范围删除Google 携号转网各运营商情况模式,雷诺汽车、日产汽车及三菱汽车该将继续在轻型商 周鸿祎未参加站长年会 戴志...
日期:07-28
“铲屎官”快看过来!618苏宁宠物卡充值立省最高1000元(苏宁卡购买)
  那个每天靠在门前等待,冲到你怀里,摇头摆尾卖萌使你心花满开的小宠物,已经慢慢成为你的“家人”,对它自然也要宠爱备至。宠物口粮、宠物用品日常必备,苏宁618年中大促折扣满...
日期:07-14
只卖生鲜的电商是个伪命题_生鲜电商的问题
每日优鲜崩盘的新闻热度已经过去,我们还是做了一期节目,探讨它所处的生鲜电商行业。   这个行业在十余年间吸引了数十亿美元的融资、在最近几年享受了疫情带来的“红利”,越...
日期:08-20
人工智能打造“功夫熊猫”是深兰科技公交智能转型之路之一
  深兰科技自2017年开始尝试整车设计,一路至今,推出多项应用成果,同时取得多个城市的自动驾驶牌测试照。经过三年中无数次的钻研和打磨,最终形成的熊猫智能公交整合自动驾驶...
日期:07-16
SiteServer与华夏名网达成虚拟主机战略合作
  最新消息,国内知名高端内容管理系统SiteServer系列产品与优秀主机提供商华夏名网达成虚拟主机战略合作协议,华夏名网为SiteServer系列产品开辟专用虚拟主机,内设多种套餐...
日期:07-28
黑莓制造商RIM股东施压RIM要求改组管理层
  北京时间6月11日上午消息,由于股东呼吁为董事会赋予更多的独立监管职责,导致黑莓制造商RIM面临更大的管理层改组压力。   股东施压   周五披露的监管文件显示,RIM股东...
日期:07-30
海南免税版的iPhone14 Plus便宜298元:价格破发仍货源充足_iphone12pro max海南免税版
10月7日iPhone14Plus正式开售,开售首日,这款手机的价格就破发了,渠道价比官网价便宜了400元,海南免税版的iPhone14Plus最高也便宜298元。虽然价格破发,但是买的人还是不多,iPhone1...
日期:10-14
英特尔CEO证实裁员 三年内将削减近130亿美元成本「英特尔ceo年薪」
凤凰网科技讯 北京时间10月28日消息,由于个人电脑需求的急剧下滑拖累了公司的盈利,芯片巨头英特尔已开始大举削减成本。英特尔表示,该公司正努力在2023年实现30亿美元的成本削...
日期:10-29
京东应急响应_京东超市面对订单持续高涨 成立应急小组
  4月25日消息,据悉,截至4月25日9时,面对订单持续高涨,京东超市紧急成立应急小组,协调支援提升产能清理生鲜订单,同时启用智慧排产控单。   截止到目前,重点民生商品备货量均...
日期:07-18