(資料圖片僅供參考)

12月11日，蔚來收到一封勒索郵件。

勒索者張口就要225萬美元等值比特幣（約合人民幣1560萬元），籌碼是其掌握了蔚來2021年8月之前的部分用戶基本信息和車輛銷售信息。

20日，蔚來對外聲明：“公司對此予以嚴厲譴責，也堅決不會向網絡犯罪行為低頭”“對于此次事件對用戶造成的影響深表歉意，并鄭重承諾，對因本次事件給用戶造成的損失承擔責任。”

面對有組織的數據勒索，蔚來的表態顯得異常強硬。

12月25日，蔚來董事長李斌表示，2023年，銷量目標是超過雷克薩斯燃油車銷量。據此推算，目標將設定在20萬輛以上。

數據泄露會對潛在車主有什么影響？為什么車企頻繁因為數據被勒索？在數字化、網聯化時代，車企如何保障車主的信息安全乃至駕乘安全？本文將回答這些問題。

01 為什么車企勒索事件頻發？

車企被勒索，蔚來不是第一個，也不會是最后一個。

2016年，Uber被黑客竊取了5700萬名乘客和司機的個人數據；

2018年網絡安全公司UpGuard的研究員發現包括特斯拉、豐田、大眾在內的上百家車企機密文件可以被輕松訪問；

現代、起亞、沃爾沃、通用、大眾、英偉達等汽車和供應商企業，近年來先后被曝遭遇黑客攻擊的事件；

2021年，特斯拉陷入“隱私門”事件，一名黑客發現特斯拉車內攝像頭能清晰記錄駕乘人員的動作、姿態甚至微表情······

為什么數據泄密、被勒索常常發生在車企身上？

第一，車企的數據多且極為重要。

在汽車的智能化、網聯化過程中，海量數據被上傳到云端，云上服務器變成了網絡攻擊的最新目標。

而對于車企來說，這些數據涉及到消費者隱私乃至行駛安全，為了品牌形象、維系客戶關系，用數據勒索幾乎等同于拿捏住了車企的七寸。

環球時報、君迪聯合調查數據顯示，受訪者中88.4%擔心個人信息轉賣給第三方；77.3%擔心個人私密信息被偷拍后非法傳播或被敲詐，62.9%擔心賬號被盜導致私人財產受損，51.8%擔心車輛被攻擊后失去控制權。近9成受訪者表示會傾向性選擇注重數據安全和保護個人敏感信息的汽車品牌。

因此，在過往發生的數據勒索中，車企鮮少像蔚來這么剛，更多的是選擇交贖金息事寧人。

上面案例中的Uber，事件發生后，時任首席安全官的喬·沙利文和副手選擇支付10萬美元的贖金，但最終，喬·沙利文被開除了。

第二，相較于暗網出售，勒索的收益高得多，黑客擔著高風險，就是為了高收益。

根據公開信息，這一次，蔚來泄露信息包括總裁在內的蔚來內部員工數據2.28萬條；485萬條注冊用戶數據；近40萬條車主用戶身份證數據；65萬條用戶地址數據。

其他還包括企業及企業代表聯系人數據；訂單、退單數據；車主親密關系數據；貸款數據等，并以此相要挾，向蔚來勒索225萬美元等額比特幣。

如果勒索不成功，勒索者通常會選擇在暗網出售其所持數據。

據悉在今年6月，奧迪汽車179萬條銷售數據，在暗網標價200美元；8月，德國汽車零部件巨頭大陸集團被曝遭遇網絡攻擊，在拒絕支付贖金后，黑客威脅稱要將包括大陸集團預算、投資和戰略規劃，以及客戶相關信息在暗網出售；同樣是8月，長安汽車200萬條用戶數據在Breached Forums上標價2萬美元。

當然，能勒索企業的人，基本就告別武德了，拿了贖金轉身又賣到暗網，一魚兩吃，這種事情也不是不會發生。

一面是高額的勒索金，另一面是信任問題，蔚來“公司賠破產也不會妥協”的態度也就可以理解了。

關于會不會賠到破產，參考如今更名“Meta”的臉書，其曾在一起隱私訴訟中，以7.25億美元的代價和解，蔚來對信息泄露員工、用戶的賠償金額不一定如此巨大，但李斌已經做好最壞的打算。

不過，相較于蔚來會不會賠破產，用戶更在乎的是智能車如何給用戶安全感。

02 越先進越脆弱

蔚來此次數據泄露更多關乎個人隱私。對消費者而言，汽車空間兼顧生活空間屬性，因此和手機隱私泄露相比，消費者對車內個人隱私泄露更敏感。

上文提及的調查還顯示，受訪者中，77.4%非常介意或比較介意個人敏感信息被智能網聯汽車收集、使用和共享。

41%的受訪者，對現階段智能汽車廣商，可以妥善保護個人敏感信息完全沒信心或信心不太足；比較有信心或者極其有信心的受訪者僅有30.4%。

料想在這次數據勒索事件后，有信心的消費者比例還將進一步下降。

盡管蔚來首席信息安全科學家盧龍強調“不影響車輛的駕乘或遠程控制”。但消費者最擔心的就是“常在河邊走，哪有不濕鞋”。

消費者的擔憂并非是杞人憂天。

在車輛數字化率遠低于今天的2015年7月，一輛正在行駛的JEEP自由光SUV，被兩名美國白帽黑客入侵CAN總線，控制車輛發動機、變速箱、制動、轉向等系統，并直接將車輛開翻到馬路邊的斜坡下。

2019年8月，360旗下的Sky-Go汽車威脅研究團隊，發現定位高端市場的奔馳E級轎車存在19個安全漏洞，而遠程信息控制單元(TCU)的6個漏洞，直接導致黑客可以通過操作MCU訪問車輛CAN總線，從而控制車門開關甚至啟動發動機。

一個共識是，現在是軟件定義汽車的時代。軟件直接影響用戶體驗，重要性也將不斷上升。

相應地，隨著車載操作系統、自動駕駛系統以及車聯網平臺等技術及產品的引入，智能汽車內部的軟件將會越來越多，越來越復雜，涉及到的代碼將越來越多。

中國軟件行業協會智能網聯汽車行業分會秘書長張健曾預測，一輛2025年生產的智能汽車代碼量預計將達到7億行，相較于2022年將增加2.3倍。

有數據顯示，代碼的級別要達到“很好”和“優異”級別，每百萬代碼的缺陷或者漏洞數量要控制在“600—1000”和“600以下”。如果一輛智能汽車擁有2億代碼，即使代碼級別達到了“很好”，對應的缺陷也在12萬個以上，帶來的風險無法評估。

正如360周鴻祎所言，數字時代新的網絡威脅比過去嚴重很多，越先進就越脆弱。

此外，伴隨整車數字化率越來越高，車輛對“云端”依賴越來越高，黑客侵入移動智能終端乃至云端后臺的危險性也大幅提升。

面對車輛安全問題，特斯拉創始人馬斯克面對360創始人周鴻祎的詢問時回答：汽車沒有安全問題，因為不像安卓一樣可以隨便下載軟件。但當周鴻祎問及車廠OTA服務器被挾持后怎么辦時，馬斯克選擇了沉默。

“2022年世界互聯網大會烏鎮峰會”上，周鴻祎公開表示，“大家狂吹特斯拉，說自動駕駛好，特斯拉也有云端大腦，如果云端大腦的數據被攻擊癱瘓了，很多智能網聯車就趴窩了。”這也解釋了馬斯克為什么會對“OTA服務器被劫持”問題保持沉默，因為對車企而言，OTA服務器被劫持，等同于“一無所有”。

03 數據安全是個大工程

想要確保智能車數據安全，需要從硬件到軟件、從產品到車企意識通盤考慮。

按照360車聯網安全首席科學家明亮所述，“智能網聯汽車是數字產業化和產業數字化的交匯地帶，實際上是軟件重新定義汽車。這改變的不只是汽車架構也改變了安全，汽車的網絡安全和物理安全將密不可分。”

在保證物理安全上，智能汽車的趨勢更有利于提供安全服務。

以智能化率較低的自由光、奔馳E為例，二者均因CAN總線被控制導致車輛失控，這主要是因為在CAN總線時代，一個節點發送信息會占據所有通信媒介，發送節點只管自己發送，不關心誰去接收，總線上所有通信節點都會收到信息。

換言之，只要控制了一個和CAN總線連接的通信節點，就能控制CAN總線這個車輛指揮中樞，黑客自然可以為所欲為了。

而在以太網時代，信息傳遞采取點對點方式，由此帶來的好處是計算平臺更集中，可以從CAN總線時代的100多個ECU減少至3-5個DCU，也就是經典的博世五域架構，車身域、智能座艙域（信息娛樂域）、底盤域、智能駕駛域和動力域。

特斯拉將車身域、底盤域和智能駕駛域合并為一域后，疊加智能座艙域、動力域共計三個域，車輛計算單元迅速集中，未來還將逐步進化到中央計算式。

越來越少的計算硬件，更有利于車企和安全公司提供精準的安全服務。而整車行業越來越多的數據勒索事件，則凸顯當下整車制造企業對數據安全的疏忽。

知名安全研究機構燭龍實驗室負責人李雨認為，車企應該加強安全意識的培訓；安全新產品、新技術的研究，車輛自身安全是一方面，其他應用系統的防護也必須加強，因為任何一處被攻破，最終受損失的都是用戶。

當前車企將主要精力放在車輛電子電氣架構的升級，但缺乏整體安全意識的提升。

以蘋果為例，為讓內地消費者用的放心，特意在國內建設數據中心，隨后特斯拉、福特、寶馬這些汽車公司相繼宣布在內地建立數據中心，將所有國內銷售的汽車數據都保留在本土數據中心內。

蔚來雖然做到了將數據存儲在內地，也堅持自研智能駕駛系統掌握車輛控制權，但是顯然沒有進一步提升企業安全防范意識，讓勒索者有機可乘。

新京報援引網絡尖刀創始人曲子龍說法：“本次泄露大概率是產生于蔚來公司自己的‘業務管理后臺’，和以往的大部分互聯網企業數據泄露一樣，應該是某個系統存在問題導致數據庫被“脫庫”。當然到底怎么泄露的還要以蔚來公司自己的調查結果為準。”

脫庫指的是不法分子利用網站SQL注入漏洞，獲取數據庫中信息，雖然是互聯網企業數據泄漏最常見的原因，卻也是難以防范的。

必須承認的是，在當前信息技術日新月異的背景下，單純依靠車企自己應付車身控制、用戶隱私數據等多維度的數據安全問題，面臨的挑戰確實非常大。

04 結語

“汽車漏洞會永遠存在，我們只能去防御，在攻防的矛盾中找到最佳平衡點，保護汽車制造商的智能汽車安全，同時增加車聯網安全的競爭優勢。”中國破解特斯拉第一人劉健皓曾說。

根據中國工程院數據，僅今年上半年，針對車聯網平臺的網絡惡意行為已經超過100萬次。

雖然大多數攻擊都被拒之門外，但伴隨智能車越來越普及，車企面臨的壓力只會越來越大。

加強企業數據安全防范，除加大研發投入外，選擇一家可靠的供應鏈企業也是最常見的辦法。以發現奔馳E安全漏洞的360為例，自2014年至今，與80%以上的主流車廠提供安全技術和服務。

數據安全領域沒有絕對的安全，但消費者交出去的隱私數據和關乎車輛控制的數據，應當被放在更高的高度。

參考文獻：

[1]《李斌致歉蔚來數據泄露：稱不會妥協，不影響駕乘或遠程控制》，澎湃新聞；

[2]《除了蔚來，大多數車企都給黑客贖金了》，虎嗅；

[3]《360修復奔馳19個潛在漏洞，背后折射出什么？》，車云網；

[4]《蔚來數據泄露被勒索1500萬 ，智能汽車安全保障挑戰重重》，懂車帝；

[5]《蔚來陷“用戶數據泄露門”，誰該為新能源汽車行業數據安全買單？》，新京報；

[6]《域控制器，汽車電子電氣架構演進下的黃金賽道》，平安證券；

[7]《網絡隱患堵在智能汽車起跑線上》，經濟參考報；

[8]《新能源車深挖全生命周期價值》，新華社；

[9]《信創落地主周期來臨，期待估值輪動修復持續》，光大證券

關鍵詞：