蔚來遭遇勒索：制造業(yè)網絡安全該補課了

文 | 周天財經

周天財經 原創(chuàng)出品

近日，正在二代線產能爬坡期的蔚來汽車遭到黑客勒索了。

勒索者在對外公布的勒索信中寫道：近日來我們破解了蔚來汽車大量數(shù)據(jù)，同時給了蔚來兩次機會，但是蔚來寧愿花費千萬請歌手，也不愿意買斷這部分數(shù)據(jù)來保護各位車主和用戶，因此我們決定有償曝光。

泄漏數(shù)據(jù)包括：蔚來內部員工數(shù)據(jù) 22800 條，包含總裁到一線員工的信息，售價 0.15 比特幣。車主用戶身份證數(shù)據(jù) 399000 條，售價 0.25 比特幣。此外，還有用戶地址數(shù)據(jù) 650000 條，蔚來注冊用戶數(shù)據(jù) 4850000 條。企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù) 10000 條。甚至還有 490000 條訂單數(shù)據(jù)和 90000 條退單數(shù)據(jù)。

從上述泄漏數(shù)據(jù)來看，黑客很可能拿到了蔚來汽車內網和銷售后臺的權限，似乎和工業(yè)生產以及車輛自身安全無關，但這足以給包括蔚來在內的車企以一記警鐘。

對此，12 月 20 日晚，蔚來官方社區(qū)緊急發(fā)布的一則《關于數(shù)據(jù)安全事件的聲明》坐實了這則勒索，蔚來稱，2022 年 12 月 11 日，蔚來公司收到外部郵件，聲稱擁有蔚來內部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索 225 萬美元等額比特幣。

蔚來方面表示，在收到勒索郵件后公司當天即成立專項小組講行調查與應對，并第一時間向有關監(jiān)管部門報告此事件。經初步調查，被竊取數(shù)據(jù)為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。蔚來對此次事件對用戶造成的影響深表歉意，并鄭重承諾，對因本次事件給用戶造成的損失承擔責任。

這樣的信息泄漏，很可能動搖用戶信心。根據(jù) 2020 年 6 月美國國際數(shù)據(jù)管理公司 Veritas Technologies 的一項調查研究顯示，44％的消費者表示會停止從遭受過勒索軟件攻擊的公司購買商品。

蔚來汽車創(chuàng)始人李斌也道歉稱：保護好用戶信息是我們的責任，我們沒有做好，深表歉意，會對此承擔責任。同時，會追查到底，不會與不法行為妥協(xié)，也請大家及時提供線索。

一位網絡安全領域的創(chuàng)始人告訴周天財經，類似的勒索其實并不罕見。「但凡有點價值（的企業(yè)和行業(yè)），都會被勒索一輪，很多企業(yè)一年會被勒索三輪。哪怕是交了贖金后，仍然會不停被勒索。」

該創(chuàng)始人談道：我們每個禮拜都能碰到企業(yè)中了什么勒索，被勒索了多少。這種事件是經常發(fā)生的，事件發(fā)生之后是很難解決的。要么就是付勒索幣，要么就是提前部署安全防護。

但可惜的是，多位安全專家談道，安全其實是一種隱性需求，一家車企有明確的業(yè)績指引和考核，比如要賣多少輛車，燒掉多少市場推廣費用，這些都是清晰的，但是唯獨安全這類未雨綢繆的工作，在惡性事件發(fā)生前，車企是缺乏概念的，「車企是不知道自己有這個需求的」。

從投入層面可見一斑，一位從事物聯(lián)網安全業(yè)務的企業(yè)家告訴周天財經：「很多車企安全投入的預算和市場預算是非常不成比例的，市面上那么多大的安全項目，很少看到車企們在投入。車企乃至整個制造業(yè)，對于網絡安全都缺乏足夠的重視。」

甲方付費意愿差，也讓網絡安全企業(yè)普遍有挫敗感，他們在行業(yè)交流會議中反映，市場開拓和市場教育非常困難。關于這一點，其實勒索方也在勒索信中談到，其給過蔚來兩次機會，但蔚來似乎沒有引起重視，「寧愿請歌星花幾千萬，也不愿付贖金」。

一家位于上海的物聯(lián)網安全企業(yè)就對周天財經談到：物聯(lián)網的大甲方，比如汽車制造業(yè)、新能源產業(yè)，業(yè)主一般收到的是一堆二進制的 firmware 的 blackbox，物理安全和供應鏈安全都缺乏保障。在物理和虛擬世界的融合地帶安全是極其脆弱的，會暴露出巨大的攻擊面。「很多芯片的系統(tǒng)版本從 3 點幾到 5 點幾的都有，版本上跨越了十年，很混亂，很難靠軟件層面就來彌合這樣的跨度，芯片和攝像頭上往往存在一堆漏洞，而最初開發(fā)的人很多都離職了，這就是我們今天面臨的較為普遍的安全現(xiàn)狀，可以說還處在刀耕火種的時期」。

而且很多企業(yè)的信息系統(tǒng)往往交給多家供應商來開發(fā)和部署，銜接和合作會出現(xiàn)問題，有時候層層外包，一個系統(tǒng)可以有 20 個參與方，出了事情后，很難快速定位到漏洞所在和責任方。一位網絡安全從業(yè)者就談道，「解決問題的過程就是四處找責任人和經辦人，最后往往發(fā)現(xiàn)是非常弱智非常低級的錯誤，比如一個配置錯誤或供應商的網絡中斷問題」。

其實，汽車企業(yè)被勒索并非新鮮事。

本田汽車就在 2017 年遭遇 wannacry 勒索軟件的攻擊，這影響了其日本一家裝配廠的生產。到 2020 年，本田汽車又遭受了一種名為 Snake 的勒索軟件攻擊。Snake 使用 Golang 編寫，被加密文件末尾追加 EKANS，在被該軟件攻擊后，被攻擊者只能繳納贖金，才能恢復文件。這款勒索軟件的波及面很廣，影響了本田的計算機服務器、電子郵件以及其他內網功能。

豐田也未能幸免，2021 年，豐田便因零部件供應商受到「勒索軟件」攻擊，決定停止日本全國所有工廠運行。此次勒索攻擊造成的停產大約影響 1 萬輛汽車的生產，約占到豐田汽車在日本國內月銷量的 5%，給企業(yè)造成巨大經濟損失。

本田和豐田遇到的是勒索軟件對工業(yè)控制系統(tǒng)的攻擊，直接影響的是生產安全，和蔚來此番遭遇有所不同，但對制造業(yè)來說，保衛(wèi)網絡安全已迫在眉睫。根據(jù)趨勢科技委托獨立研究專家 Vanson Bourne 對美國、德國和日本 500 名 IT 和 OT 專業(yè)人員進行的調查結果顯示，61% 的制造商在其智能工廠經歷過網絡安全事件，75% 的制造商因此遭受系統(tǒng)中斷，其中 43% 持續(xù)了 4 天以上。IBM X-Force 網絡安全情報部門也發(fā)布一項調研報告，報告指出，在 2021 年，制造業(yè)已經取代金融和保險行業(yè)成為遭受網絡攻擊最多的行業(yè)。

制造業(yè)和互聯(lián)網發(fā)生交集，當汽車成為一個數(shù)字終端，越發(fā)「連接一切」的時候，網絡安全就成為必須修煉的內功，從工業(yè)制造的供應鏈安全到銷售管理乃至車輛自身防劫持，都對汽車制造業(yè)提出了很高的安全要求。蔚來汽車這次的遭遇是不幸的，希望蔚來能把損失減少到最低，同時也期待整個汽車產業(yè)早日加強安全能力建設，防患于未然。