蔚来遭遇勒索：制造业网络安全该补课了

编辑按：本文转载至微信公众号“周天产业分析”，飞鲸投研经授发布 。

近日，正在二代线产能爬坡期的蔚来汽车遭到黑客勒索了。

勒索者在对外公布的勒索信中写道：近日来我们破解了蔚来汽车大量数据，同时给了蔚来两次机会，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户，因此我们决定有偿曝光。

泄漏数据包括：蔚来内部员工数据 22800 条，包含总裁到一线员工的信息，售价 0.15 比特币。车主用户身份证数据 399000 条，售价 0.25 比特币。此外，还有用户地址数据 650000 条，蔚来注册用户数据 4850000 条。企业及企业代表联系人数据 10000 条。甚至还有 490000 条订单数据和 90000 条退单数据。

从上述泄漏数据来看，黑客很可能拿到了蔚来汽车内网和销售后台的权限，似乎和工业生产以及车辆自身安全无关，但这足以给包括蔚来在内的车企以一记警钟。

对此，12 月 20 日晚，蔚来官方社区紧急发布的一则《关于数据安全事件的声明》坐实了这则勒索，蔚来称，2022 年 12 月 11 日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索 225 万美元等额比特币。

蔚来方面表示，在收到勒索邮件后公司当天即成立专项小组讲行调查与应对，并第一时间向有关监管部门报告此事件。经初步调查，被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。蔚来对此次事件对用户造成的影响深表歉意，并郑重承诺，对因本次事件给用户造成的损失承担责任。

这样的信息泄漏，很可能动摇用户信心。根据 2020 年 6 月美国国际数据管理公司 Veritas Technologies 的一项调查研究显示，44％的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。

蔚来汽车创始人李斌也道歉称：保护好用户信息是我们的责任，我们没有做好，深表歉意，会对此承担责任。同时，会追查到底，不会与不法行为妥协，也请大家及时提供线索。

一位网络安全领域的创始人告诉周天财经，类似的勒索其实并不罕见。「但凡有点价值（的企业和行业），都会被勒索一轮，很多企业一年会被勒索三轮。哪怕是交了赎金后，仍然会不停被勒索。」

该创始人谈道：我们每个礼拜都能碰到企业中了什么勒索，被勒索了多少。这种事件是经常发生的，事件发生之后是很难解决的。要么就是付勒索币，要么就是提前部署安全防护。

但可惜的是，多位安全专家谈道，安全其实是一种隐性需求，一家车企有明确的业绩指引和考核，比如要卖多少辆车，烧掉多少市场推广费用，这些都是清晰的，但是唯独安全这类未雨绸缪的工作，在恶性事件发生前，车企是缺乏概念的，「车企是不知道自己有这个需求的」。

从投入层面可见一斑，一位从事物联网安全业务的企业家告诉周天财经：「很多车企安全投入的预算和市场预算是非常不成比例的，市面上那么多大的安全项目，很少看到车企们在投入。车企乃至整个制造业，对于网络安全都缺乏足够的重视。」

甲方付费意愿差，也让网络安全企业普遍有挫败感，他们在行业交流会议中反映，市场开拓和市场教育非常困难。关于这一点，其实勒索方也在勒索信中谈到，其给过蔚来两次机会，但蔚来似乎没有引起重视，「宁愿请歌星花几千万，也不愿付赎金」。

一家位于上海的物联网安全企业就对周天财经谈到：物联网的大甲方，比如汽车制造业、新能源产业，业主一般收到的是一堆二进制的 firmware 的 blackbox，物理安全和供应链安全都缺乏保障。在物理和虚拟世界的融合地带安全是极其脆弱的，会暴露出巨大的攻击面。「很多芯片的系统版本从 3 点几到 5 点几的都有，版本上跨越了十年，很混乱，很难靠软件层面就来弥合这样的跨度，芯片和摄像头上往往存在一堆漏洞，而最初开发的人很多都离职了，这就是我们今天面临的较为普遍的安全现状，可以说还处在刀耕火种的时期」。

而且很多企业的信息系统往往交给多家供应商来开发和部署，衔接和合作会出现问题，有时候层层外包，一个系统可以有 20 个参与方，出了事情后，很难快速定位到漏洞所在和责任方。一位网络安全从业者就谈道，「解决问题的过程就是四处找责任人和经办人，最后往往发现是非常弱智非常低级的错误，比如一个配置错误或供应商的网络中断问题」。

其实，汽车企业被勒索并非新鲜事。

本田汽车就在 2017 年遭遇 wannacry 勒索软件的攻击，这影响了其日本一家装配厂的生产。到 2020 年，本田汽车又遭受了一种名为 Snake 的勒索软件攻击。Snake 使用 Golang 编写，被加密文件末尾追加 EKANS，在被该软件攻击后，被攻击者只能缴纳赎金，才能恢复文件。这款勒索软件的波及面很广，影响了本田的计算机服务器、电子邮件以及其他内网功能。

丰田也未能幸免，2021 年，丰田便因零部件供应商受到「勒索软件」攻击，决定停止日本全国所有工厂运行。此次勒索攻击造成的停产大约影响 1 万辆汽车的生产，约占到丰田汽车在日本国内月销量的 5%，给企业造成巨大经济损失。

本田和丰田遇到的是勒索软件对工业控制系统的攻击，直接影响的是生产安全，和蔚来此番遭遇有所不同，但对制造业来说，保卫网络安全已迫在眉睫。根据趋势科技委托独立研究专家 Vanson Bourne 对美国、德国和日本 500 名 IT 和 OT 专业人员进行的调查结果显示，61% 的制造商在其智能工厂经历过网络安全事件，75% 的制造商因此遭受系统中断，其中 43% 持续了 4 天以上。IBM X-Force 网络安全情报部门也发布一项调研报告，报告指出，在 2021 年，制造业已经取代金融和保险行业成为遭受网络攻击最多的行业。

制造业和互联网发生交集，当汽车成为一个数字终端，越发「连接一切」的时候，网络安全就成为必须修炼的内功，从工业制造的供应链安全到销售管理乃至车辆自身防劫持，都对汽车制造业提出了很高的安全要求。蔚来汽车这次的遭遇是不幸的，希望蔚来能把损失减少到最低，同时也期待整个汽车产业早日加强安全能力建设，防患于未然。