蔚来数据被盗引发业界关注车企数据安全维护难

出品 | 搜狐汽车·车咖

作者| 宇文迪

12月25日，NIO DAY 2022蔚来汽车比特币数据黑客，李斌再次回应刚刚发生的数据安全事件，表示不会向不法分子妥协，也不想开赔偿先例。 在这个问题上妥协。

本月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发表声明称，蔚来于12月11日收到一封外部邮件，声称拥有蔚来内部数据并进行勒索泄露的数据。 相当于 225 万美元的比特币。

蔚来被盗数据分为公司内部数据和车主数据两部分。 内部数据包括内部员工数据、注册用户数据、业务和业务代表联系方式、订单和退款数据； 车主数据包括车主身份证、用户地址、亲密关系、贷款数据。

这一事件引起了整个行业的关注。 当前汽车行业数字化转型如火如荼，智能化转型加速。 数据安全的重要性更加凸显。

蔚来并不是第一家受到此次攻击的公司。 在国外车企中，丰田、本田、雷诺、日产、通用等知名车企也都遭遇了不同类型的数字安全问题，影响生产经营甚至行车安全。

丰田今年多次陷入困境。 今年3月，丰田汽车内外饰件供应商小岛冲压工业因网络攻击发生系统故障，导致丰田零部件管理系统中断。 丰田不得不在日本全国 14 家工厂和 28 条生产线停产一天。

3月中旬，黑客组织“潘多拉”发表声明称，已从电装获得超过15.7万份采购订单、电子邮件和设计图纸，数据总量达1.4TB。 如果未按要求支付赎金，数据将在暗网上公布。 对此，电装发言人表示，检测到其位于德国的子公司遭遇了未经授权登录和使用勒索软件的情况。

除了针对车企内部系统的攻击，车辆自身被控制的事件也越来越多。 今年早些时候，19 岁的荷兰黑客 David Colombo 在推特上表示，他可以远程控制 13 个国家的超过 25 辆特斯拉，包括解锁车门、控制车窗，或者在没有钥匙的情况下启动汽车，以及关闭特斯拉的安全系统等。他声称发现了第三方软件的漏洞，但使用这款软件的特斯拉车主并不多。

纵观近年来车企的数据安全事件，主要是车企内部系统和车辆本身的问题。 企业系统中的销售、生产、采购、内部OA系统、用户APP数据等各个环节都容易被攻击。 车辆本身的控制主要集中在数字钥匙和信息娱乐系统上。 控制车速、刹车等影响行车安全的事故也越来越多。

对企业系统的攻击不仅仅存在于车企，而是一种比较常见的网络攻击类型。 高级系统安全工程师李军表示，很多刚起步的互联网公司也会遇到这种问题。 数据安全是一项系统工程。 某个环节做好了也不是万无一失的。 它需要在整个过程中进行保护。 采集、安全加密传输、加密存储、认证加密都需要严格管理。

在某车企从事网络安全工作的马锐表示，在技术层面，企业可以与厂商进行渗透测试，进行攻防演练，提高系统安全性。 难点在于，一旦发生安全事件，很难判断是技术问题还是人为泄露。

李军表示，在蔚来这件事情上，从技术角度比较容易找出问题所在，但很难确定是否有“内鬼”，究竟是谁。 对于蔚来来说，从技术角度来说，首先要补齐漏洞，检查数据库安全，把所有能加的环节都加入安全认证。 技术安全是底线，安全意识是顶层。

在内部信任问题上，区块链作为一种去中心化、不可篡改的技术蔚来汽车比特币数据黑客，可以起到防止“内鬼”的作用。 灵数科技创始人林乐表示，通过区块链的数字身份体系可以对数据权限进行分级管理，区块链的溯源功能可以留下数据存储、调用、使用的痕迹。

但由于具备一定数字化能力的企业更倾向于自建内部系统，因此使用区块链相关技术的企业并不多。 如果企业合作的话，部署一个系统的成本大概是几百万。

在安全意识方面，管理层的权限设计也很重要。 “按照相关规定，用户在系统中显示的信息必须是加密信息，只有高权限的人才可以看到。”马睿说，但在实际操作中，大多数企业很难做到。因为硬件加密成本高，算法加密时间长，存储效率低，安全与效率在一定程度上是矛盾的。”

李军还表示，如果内部数据不属于信息安全级别，权限不明确，基层员工有可能知道秘钥，直接出卖。 所以一些大厂的权限设计会更好，审批流程会更完善。

在此次蔚来事件中，泄露的数据还包括用户亲密度等信息。 这也引发了一些用户讨论“企业应该向用户收集哪些信息”。 虽然对于智能模型来说，越了解用户，就越能提供更个性化的服务，但也有部分用户对这种“亲昵”感到不适应，时刻担心自己的信息安全。

蔚来“粉丝营销”出圈的同时，也意味着蔚来收集了更多的用户信息。 根据蔚来官网隐私政策，当用户通过蔚来App申请充换电时，姓名、手机号码、车辆VIN码、车型、电池信息、车牌号、手机所在位置等信息，和车辆位置将被收集。

在使用APP时，用户还可以自愿提供性别、爱好、通讯地址等信息。 此外，APP还设有社保、公积金报表、结婚证、房产证等报送入口，适用于不同的购车场景。

当信息泄露发生时，用户更加关注。 买车真的需要提交那么多信息吗？

同时，蔚来也提醒，部分产品/服务需要第三方参与才能完成，因此部分用户个人信息可能会提供给关联公司及第三方服务商或合作伙伴。 在传输环节中，是否存在加密传输、第三方数据库的安全等都是风险点。

有了企业系统安全，车辆本身的安全也值得关注。 目前，车辆一旦联网，就存在被远程控制的风险，这已成为行业共识。 为提高车辆通信安全，工信部等相关部门联合车企组织开展多项试点工作，统一标准，如车联网身份认证与安全信任试点、《车联网技术要求》等。基于LTE的车联网通信安全”等。还有比较常见的车云协同通信证书体系。

驾驶舱系统和第三方软件也为黑客提供了攻击机会。 今年，特斯拉被荷兰黑客通过第三方软件控制。 中车智控（北京）科技有限公司创始人尚进曾表示，智能网联汽车需要车规级的安全产品，必须与技术软件相结合。 同时，我们还必须关注OTA更新、数据收集和处理的过程。

现在补救还为时不晚。 各种数据安全事件再次给车企敲响了警钟。 数据采集​​的规模、传输和存储的安全性、人员权限的管理等都会影响数据安全，进而影响车企的正常运营和品牌形象。

数字智能时代，车企需要全面提升技术和管理能力。