文|科技新知 萇樂
編輯|伊頁
蔚來攤上事兒了。
12月20日,蔚來汽車首席信息安全科學(xué)家、信息安全委員會負責人盧龍在官方社區(qū)發(fā)布公告:
在這個月11日的時候,蔚來公司收到外部郵件,聲稱擁有蔚來內(nèi)部數(shù)據(jù),并以泄露數(shù)據(jù)勒索225萬美元(1568萬元人民幣)等額比特幣。
創(chuàng)始人李斌隨即發(fā)布道歉聲明,稱“絕不向不法行為妥協(xié)”。
很快,#蔚來用戶數(shù)據(jù)遭竊取被勒索225萬美元#、#李斌致歉#等詞條沖上熱搜,引起熱議。
幾天后的平安夜,即將迎來蔚來汽車的2022年度NIO Day,在蔚來的官方首頁,吸睛的倒計時跳動著數(shù)字,此時此刻被推上風口浪尖的李斌,如坐針氈、如芒刺背、如鯁在喉,留給他的時間不多了。
被上了一課
事情經(jīng)初步調(diào)查,蔚來被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。
一時間網(wǎng)友炸了鍋,有的人聲討蔚來不保護用戶隱私安全,有的人表示網(wǎng)絡(luò)安全事件頻發(fā),無奈卻理解。
為了安撫用戶情緒,20日晚間,創(chuàng)始人李斌在蔚來官方社區(qū)就用戶數(shù)據(jù)泄露一事發(fā)文致歉。
李斌表示:“保護好用戶信息安全是我們的責任,我們沒有做好,向大家深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協(xié)同有關(guān)部門深入調(diào)查此次事件,對竊取和買賣此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底。我們不會與不法行為妥協(xié),也請大家及時提供線索?!?/p>
可是據(jù)《Tech星球》報道,針對用戶數(shù)據(jù)泄露一事,蔚來汽車客服人員表示,不會做出主動賠償,但“對因本次事件給用戶造成的損失承擔責任。”
劃一下重點:目前蔚來采取的做法是不主動、不負責,只有用戶真的因為這件事造成了損失才會承擔責任。
1500萬人民幣,蔚來不想花,李斌也不想花。那怎么辦?只能報警了??杉埵前蛔』鸬?。
所以,據(jù)蔚來所說,12月11日那一天接到了“恐嚇信”,公司當天即成立專項小組進行調(diào)查與應(yīng)對,并第一時間向有關(guān)監(jiān)管部門報告此事件??芍钡揭恢苡杏嘀蟮?0日,才向公眾公開此事。
兩處漏洞
數(shù)據(jù)到底是如何泄露的?是黑客攻擊,還是員工泄露?此次事件疑點重重。
“快2023年了還能中勒索病毒,這IT得爛成啥樣?”一網(wǎng)友如此評論,表示對于企業(yè)遇到黑客攻擊事件不理解。
事實上,數(shù)據(jù)泄露時時刻刻發(fā)生。根據(jù)Identify Theft Research Center中心的數(shù)據(jù)顯示,與2021年同期相比,2022年第一季度實際報告的數(shù)據(jù)泄露事件數(shù)量增加了14%,達到404起。
新能源車市場攻城容易守城難。根據(jù)乘聯(lián)會最新數(shù)據(jù)顯示,2022年1月到11月,蔚來汽車累計銷量為106671臺。相比去年同期,其銷量上漲了31.8%。
然而,銷量上漲背后,一些基礎(chǔ)設(shè)施也許并未跟上,這才導(dǎo)致蔚來被上了一課。
如果是黑客所為,那么對方一定是掐好了時間點,特意選定的“良辰吉日”,因為12月24日,年度盛典NIO Day就要開始了。事情還在發(fā)酵,留給蔚來的時間不多了。
歷史證明,已經(jīng)有不少企業(yè)為數(shù)據(jù)泄露買單,而根源就在于IT系統(tǒng)的安全性太低。Identify Theft Research Center數(shù)據(jù)報告提到重要的一點,數(shù)據(jù)泄露事件大多數(shù)是由網(wǎng)絡(luò)釣魚和勒索軟件攻擊引發(fā)的,其他還包括惡意軟件、憑證填充和不安全的云工具。
具體案例也很多,今年一家國外企業(yè)Beetle Eye就發(fā)生了一起重大數(shù)據(jù)泄露事故,由于AWS S3存儲桶未進行任何加密且配置錯誤,泄露了大約700萬人的敏感數(shù)據(jù)。
還有,微軟在2020年公開了一起長達14年的數(shù)據(jù)泄露事故,期間2.5億條客戶服務(wù)和支持記錄在網(wǎng)上泄露。公司表示,個人數(shù)據(jù)在存儲之前已從記錄中刪除,但一些明文電子郵件和IP地址被暴露。最后,微軟將其歸因于內(nèi)部數(shù)據(jù)庫安全規(guī)則的錯誤配置。
還有一種可能,那就是內(nèi)部管理對于數(shù)據(jù)安全的缺失,導(dǎo)致內(nèi)部員工有意或無意泄露。
今年4月,蔚來在一份內(nèi)部通知中表示,2021年9月1日風險管理部門收到相關(guān)投訴,聲稱一位員工利用職位之便,使用公司內(nèi)部服務(wù)器進行了以太坊挖礦,時間長達一年以上。
蔚來強調(diào),該行為已經(jīng)違反法律,同時也對公司系統(tǒng)安全和業(yè)務(wù)信息安全產(chǎn)生了負面影響。該涉事員工已承認了自己的行為。
挖礦不僅占用CPU資源影響正常服務(wù),還會產(chǎn)生大量的耗電。但蔚來在一年多的時間中都沒有發(fā)現(xiàn)這一點,足以證明其內(nèi)部管理存在漏洞。
即便有了“前車之鑒”,可似乎蔚來并沒有怎么放在心上。截至「科技新知」發(fā)稿,蔚來依舊沒有找到此次數(shù)據(jù)泄露的“罪魁禍首”。但可以肯定的是,無論何時,企業(yè)都不應(yīng)將數(shù)據(jù)安全單純地托付給任何一款工具,小到員工培訓(xùn),大到公司的策略和管理,這些環(huán)節(jié)缺一不可。
然而,這件事情背后也映射出一個更為深刻的問題。根據(jù)網(wǎng)上流傳的消息,黑客向蔚來喊話:“給了蔚來兩次機會,但是寧愿花費千萬請歌手,也不愿買斷這部分數(shù)據(jù)?!边@種重營銷、輕技術(shù)的商業(yè)歪風,何時才能到頭?
數(shù)據(jù)定義軟件
有些損失是不可挽回的。
自開啟交付至2021年7月,蔚來汽車共計交付12.55萬輛汽車。超過12萬車主的身份證、用戶地址,甚至車主親密關(guān)系、車主貸款數(shù)據(jù)等極為隱私的信息,都成為不法分子索要巨額錢財?shù)幕I碼。
即使蔚來認栽贖回,然而電子數(shù)據(jù)是可復(fù)制的,或許這些信息早已散落在各個隱秘的角落。
雖然,盧龍稱本次數(shù)據(jù)泄露并不影響車輛駕乘或遠程控制,不涉及車輛使用中產(chǎn)生的數(shù)據(jù)(如行車軌跡、座艙數(shù)據(jù));也有分析人士表示,這次泄露的數(shù)據(jù),大部分是存儲在后端、數(shù)據(jù)庫或者云端的個人數(shù)據(jù),黑客如果選擇攻擊車輛本身,還是有一定的技術(shù)門檻,而汽車本身有車載的安全網(wǎng)關(guān)也會進行攔截。
但是,用戶的不信任,就是一件一件小事聚沙成塔。蔚來此事,似乎又喚起了網(wǎng)友以及用戶對于新能源汽車的種種擔憂,更是重新挑起了新能源和燃油車兩派擁護者之間的矛盾。
“如果數(shù)據(jù)安全都這么水,自動駕駛不是很危險?”“知道為啥買燃油車了吧,電車還是不成熟。”有網(wǎng)友如此評論。
都說軟件能定義一切,因此這些年汽車賽道也刮起了“軟件定義汽車”的風?,F(xiàn)如今,軟件+汽車還是一門好生意嗎?
看好派認為,軟件將在技術(shù)、產(chǎn)品、運營理念、組織架構(gòu)等方面給汽車產(chǎn)業(yè)帶來全面改變,例如這兩年興起的OTA,就是從軟件的邏輯出發(fā),能使用戶從線上進行系統(tǒng)升級和更新。
想讓軟件發(fā)揮最大價值的前提就是收集海量數(shù)據(jù),這些沉淀下來的數(shù)據(jù),不僅僅是企業(yè)的資產(chǎn),更是屬于整個社會的共同資產(chǎn)。
一旦數(shù)據(jù)管理出現(xiàn)問題,小則影響用戶隱私,大則威脅國家安全。因此,種種信號表明,野蠻生長的時期已經(jīng)結(jié)束了,尤其是被軟件定義的新能源汽車。
去年9月,工信部印發(fā)了《關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》,在加強數(shù)據(jù)安全保護、健全安全標準體系等六方面提出17項具體要求。
今年4月,工信部聯(lián)合公安部、交通運輸部等五部門聯(lián)合發(fā)布了《關(guān)于進一步加強新能源汽車企業(yè)安全體系建設(shè)的指導(dǎo)意見》,明確提出要對車輛網(wǎng)絡(luò)安全狀態(tài)進行監(jiān)測,加強對車輛運行數(shù)據(jù)的分析挖掘。
可以預(yù)見的是,智能網(wǎng)聯(lián)汽車在中國的數(shù)據(jù)管控力度,還會進一步加大。
至于蔚來,以及其他車企,無論樂意與否,都應(yīng)該盡快擺脫未成年人的心態(tài)。在沖銷量的同時,不要忘記對用戶、社會多負責。
在軟件定義一切的時代,人們想生活變得更智能,就得交出數(shù)據(jù)的管理、使用權(quán)。
去年9月,一位2020款理想ONE車主向媒體反應(yīng)稱,理想汽車車機更新時出現(xiàn)的“理想智能系統(tǒng)軟件許可協(xié)議”,只給了同意選項,不同意協(xié)議甚至無法繼續(xù)用車。
最隱私、最珍貴的東西被別人攥在手里,除了心里默念“但愿受傷的那個人不是我”之外,別無選擇。可是,誰又能真的逃過?