蔚來遭遇勒索：製造業網絡安全該補課了

文 | 周天財經

周天財經原創出品

近日，正在二代線產能爬坡期的蔚來汽車遭到黑客勒索了。

勒索者在對外公佈的勒索信中寫道：近日來我們破解了蔚來汽車大量數據，同時給了蔚來兩次機會，但是蔚來寧願花費千萬請歌手，也不願意買斷這部分數據來保護各位車主和用戶，因此我們決定有償曝光。

泄漏數據包括：蔚來內部員工數據 22800 條，包含總裁到一線員工的信息，售價 0.15 比特幣。車主用戶身份證數據 399000 條，售價 0.25 比特幣。此外，還有用戶地址數據 650000 條，蔚來註冊用戶數據 4850000 條。企業及企業代表聯繫人數據 10000 條。甚至還有 490000 條訂單數據和 90000 條退單數據。

從上述泄漏數據來看，黑客很可能拿到了蔚來汽車內網和銷售後臺的權限，似乎和工業生產以及車輛自身安全無關，但這足以給包括蔚來在內的車企以一記警鐘。

對此，12 月 20 日晚，蔚來官方社區緊急發佈的一則《關於數據安全事件的聲明》坐實了這則勒索，蔚來稱，2022 年 12 月 11 日，蔚來公司收到外部郵件，聲稱擁有蔚來內部數據，並以泄露數據勒索 225 萬美元等額比特幣。

蔚來方面表示，在收到勒索郵件後公司當天即成立專項小組講行調查與應對，並第一時間向有關監管部門報告此事件。經初步調查，被竊取數據爲 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。蔚來對此次事件對用戶造成的影響深表歉意，並鄭重承諾，對因本次事件給用戶造成的損失承擔責任。

這樣的信息泄漏，很可能動搖用戶信心。根據 2020 年 6 月美國國際數據管理公司 Veritas Technologies 的一項調查研究顯示，44%的消費者表示會停止從遭受過勒索軟件攻擊的公司購買商品。

蔚來汽車創始人李斌也道歉稱：保護好用戶信息是我們的責任，我們沒有做好，深表歉意，會對此承擔責任。同時，會追查到底，不會與不法行爲妥協，也請大家及時提供線索。

一位網絡安全領域的創始人告訴周天財經，類似的勒索其實並不罕見。‘但凡有點價值（的企業和行業），都會被勒索一輪，很多企業一年會被勒索三輪。哪怕是交了贖金後，仍然會不停被勒索。’

該創始人談道：我們每個禮拜都能碰到企業中了什麼勒索，被勒索了多少。這種事件是經常發生的，事件發生之後是很難解決的。要麼就是付勒索幣，要麼就是提前部署安全防護。

但可惜的是，多位安全專家談道，安全其實是一種隱性需求，一家車企有明確的業績指引和考覈，比如要賣多少輛車，燒掉多少市場推廣費用，這些都是清晰的，但是唯獨安全這類未雨綢繆的工作，在惡性事件發生前，車企是缺乏概念的，‘車企是不知道自己有這個需求的’。

從投入層面可見一斑，一位從事物聯網安全業務的企業家告訴周天財經：‘很多車企安全投入的預算和市場預算是非常不成比例的，市面上那麼多大的安全項目，很少看到車企們在投入。車企乃至整個製造業，對於網絡安全都缺乏足夠的重視。’

甲方付費意願差，也讓網絡安全企業普遍有挫敗感，他們在行業交流會議中反映，市場開拓和市場教育非常困難。關於這一點，其實勒索方也在勒索信中談到，其給過蔚來兩次機會，但蔚來似乎沒有引起重視，‘寧願請歌星花幾千萬，也不願付贖金’。

一家位於上海的物聯網安全企業就對周天財經談到：物聯網的大甲方，比如汽車製造業、新能源產業，業主一般收到的是一堆二進制的 firmware 的 blackbox，物理安全和供應鏈安全都缺乏保障。在物理和虛擬世界的融合地帶安全是極其脆弱的，會暴露出巨大的攻擊面。‘很多芯片的系統版本從 3 點幾到 5 點幾的都有，版本上跨越了十年，很混亂，很難靠軟件層面就來彌合這樣的跨度，芯片和攝像頭上往往存在一堆漏洞，而最初開發的人很多都離職了，這就是我們今天面臨的較爲普遍的安全現狀，可以說還處在刀耕火種的時期’。

而且很多企業的信息系統往往交給多家供應商來開發和部署，銜接和合作會出現問題，有時候層層外包，一個系統可以有 20 個參與方，出了事情後，很難快速定位到漏洞所在和責任方。一位網絡安全從業者就談道，‘解決問題的過程就是四處找責任人和經辦人，最後往往發現是非常弱智非常低級的錯誤，比如一個配置錯誤或供應商的網絡中斷問題’。

其實，汽車企業被勒索並非新鮮事。

本田汽車就在 2017 年遭遇 wannacry 勒索軟件的攻擊，這影響了其日本一家裝配廠的生產。到 2020 年，本田汽車又遭受了一種名爲 Snake 的勒索軟件攻擊。Snake 使用 Golang 編寫，被加密文件末尾追加 EKANS，在被該軟件攻擊後，被攻擊者只能繳納贖金，才能恢復文件。這款勒索軟件的波及面很廣，影響了本田的計算機服務器、電子郵件以及其他內網功能。

豐田也未能倖免，2021 年，豐田便因零部件供應商受到‘勒索軟件’攻擊，決定停止日本全國所有工廠運行。此次勒索攻擊造成的停產大約影響 1 萬輛汽車的生產，約佔到豐田汽車在日本國內月銷量的 5%，給企業造成巨大經濟損失。

本田和豐田遇到的是勒索軟件對工業控制系統的攻擊，直接影響的是生產安全，和蔚來此番遭遇有所不同，但對製造業來說，保衛網絡安全已迫在眉睫。根據趨勢科技委託獨立研究專家 Vanson Bourne 對美國、德國和日本 500 名 IT 和 OT 專業人員進行的調查結果顯示，61% 的製造商在其智能工廠經歷過網絡安全事件，75% 的製造商因此遭受系統中斷，其中 43% 持續了 4 天以上。IBM X-Force 網絡安全情報部門也發佈一項調研報告，報告指出，在 2021 年，製造業已經取代金融和保險行業成爲遭受網絡攻擊最多的行業。

製造業和互聯網發生交集，當汽車成爲一個數字終端，越發‘連接一切’的時候，網絡安全就成爲必須修煉的內功，從工業製造的供應鏈安全到銷售管理乃至車輛自身防劫持，都對汽車製造業提出了很高的安全要求。蔚來汽車這次的遭遇是不幸的，希望蔚來能把損失減少到最低，同時也期待整個汽車產業早日加強安全能力建設，防患於未然。