网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

头图丨视觉中国

每当有好事临近，总会有坏事前来添堵。

12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方APP发布声明，对日前网络上有人出售蔚来相关数据的情况进行了回应。在该声明中，蔚来承认了确实存在用户基本信息和车辆销售信息泄露的情况，并遭遇到了黑客约225万美元的重金勒索。

而这距离蔚来年度发布会NIO Day，仅剩下4天时间。

在发布声明后，蔚来创始人、董事长兼CEO李斌在评论区对用户表达了歉意，同时也声明“不会与不法行为妥协”。卢龙则进一步透露，他们正在调查数据泄露的原因和影响范围，但“本次事件不涉及车辆使用中产生的数据（如行车轨迹、座舱数据）”。

诚然，蔚来的这一次用户数据泄露又一次为车企敲响了信息安全的警钟，然而在公开报道之外，黑客对车企数据库的共计并不鲜见。一位在行业中多年负责信息安全业务的专业人士告诉笔者：

“面对黑客攻击，大多数车企都选择直接交赎金了事，只有蔚来这么‘刚’。”

这一次，黑客盗走了哪些数据？

从声明和高管回复可以看出，目前已经被确认窃取的数据，为2021年8月之前部分用户基本信息和车辆销售信息。然而，笔者提车的时间，恰恰就是2021年的7月4日。

“这不巧了么不是。”

所以，黑客有可能从蔚来的数据库里，窃取了笔者的哪些信息？

分析这个问题，我们可以从下定到购买，以及日常的使用，蔚来都从笔者这里搜集了哪些信息入手。坦率来说，这个信息不算少。

首先，是个人基础信息。在订车过程中，笔者的手机号、身份证等信息已经交给了蔚来APP或相关工作人员。而在北京、上海等限牌城市，购买蔚来这样的电动车，用户还需要给厂商提交购车指标或社保卡及工作居住证等信息。

而在完成提车后，蔚来APP中还会搜集用户的行驶证、车辆配置、车架号等信息。其中行驶证上关于家庭住址的信息与身份证上一致，而发动机号、车辆VIN码（每辆车的全球唯一编码，相当于车辆身份证）等也赫然在列。

除此之外，蔚来由于是自带4/5G通讯模块的智能汽车，因此基于主管部门的要求还需要实名认证后才能使用联网功能。为此，笔者还在蔚来APP进行了人脸识别+身份证的认证。这其中产生的数据，有没有被偷走的可能？

此外，车主信息中还包括了紧急联系人的姓名及电话，云相册（车内摄像头拍摄的用户合影）、车辆配置信息等等数据。如果这些被黑客卖给了犯罪分子，其结果恐怕不容乐观。虽然笔者向来遵纪守法，不具备罪犯们的想象力，但从此前汽车行业遭遇黑客破解的案例可以看出，车辆以及车主信息的被窃，可以给用户造成多大的麻烦。

早在2016年，日产Leaf（即东风日产的启辰晨风）电动车就被曝出存在安全漏洞。该漏洞存在于电动汽车的配套车载应用程序之中，黑客可以通过漏洞，在获知车辆VIN码后，对具体到某辆车的车主近期行程进行监控。更要命的是，黑客还可以通过该漏洞，远程操控该车辆的空调、门锁等功能。轻则让用户车辆因电量耗光而趴窝，重则可以用远程开锁将车内财物洗劫一空。

当然，此次黑客从蔚来窃取的还只是车主数据而已，并不存在程序安全漏洞，且其具体泄露的信息种类和范围尚未公布。但如果有骗子从黑客手中获得了笔者的姓名、身份证号、车牌号以及紧急联系人的信息后，很可能就会发生“谎称发生事故，要求家里人给医院打钱”的故事情节。

尽管一切还都只是猜测，但想一想就让人不寒而栗了。

不过根据网络上流传的信息，黑客从蔚来数据库中窃取的信息不止于上述提到的车主数据。上到总裁下到一线员工和车主等各个群体的信息，黑客“尽在掌握”。

这条信息的真假不论，但仅黑客的态度就让笔者感到气愤：就算蔚来在每年NIO Day上花钱去请大牌演艺明星助阵，这也是企业正常且合规合法的营销行为。这笔钱就算再多，也和给黑客交保护费不是一个性质。既然已经在卖黑产了，又何必打出“替天行道”的招牌？

当然经此一役后，蔚来肯定意识到，除了在研发、营销和服务上花大钱之外，数据库的信息安全建设也不能遭遇厚此薄彼了。

黑客：如何花式勒索车企

事实上，近几年汽车行业遭遇黑客攻击和勒索的情况屡见不鲜。随着车辆智能化程度的不断加深，一辆车上的弱点也越来越多。从门锁、车机屏幕到数据后台，乃至汽车企业本身，都在成为黑客们的攻击目标。

这样的例子实在太多，笔者挑几个很典型的分享给各位。这其中有大家耳熟能详的德系豪华品牌，也有支撑起匠心日系车的世界级供应商。