最担心的事情终于来了!汽车黑客勒索蔚来225万美元!
马上过年(圣诞)了,犯罪分子都开始想办法“挣钱”了?蔚来汽车竟然被黑客勒索225万美金。
12月20日,蔚来首席信息安全科学家卢龙在蔚来官方APP上发布公告称,有不法人士在网上出售蔚来相关数据。
声明表示,蔚来公司于12月11日收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
随后蔚来汽车CEO李斌也公开对车主致歉,没有保护好用户信息。会深入调查此事,对盗窃和买卖此次事件相关数据的违法犯罪行为追查到底。
并表示,公司绝不向罪犯妥协,也呼吁网友多多提供线索。
黑客盗取了哪些数据?
蔚来公司并未回应被盗取的数据具体包含是什么,只透露了被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
卢龙表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。PS:还在进一步调查数据泄露的原因和影响范围。
有关专家猜测,泄露的很可能是蔚来APP上的用户注册信息,例如:个人信息,包括姓名、手机号码、有效证件号码等。
用户如果在蔚来APP-我的证件中进行授权,则可能会包括更为隐私的个人信息,如购车指标、社保流水、公积金流水、薪资流水等。
针对此次事件可能造成的用户损失,蔚来汽车客服人员表示,不会做出主动赔偿。但“对客户的反馈会记录再案,且会对因本次事件给用户造成的损失承担责任”。
并提醒车主,若接到不明来电,则需要谨慎一点。
智能汽车数据安全敲响警钟
智能化汽车时代,用户的隐私安全如何保障?
此前,高合汽车被汽车博主曝光存在#行车记录仪#疑似泄露隐私。
车辆自带的“行车记录仪”功能,任何注册车主都可以通过后台随意查看其他高合车友的行车记录仪。
特斯拉CEO马斯克曾公开承认,通过车内摄像头监控车主驾驶,从而决定收回一些车主的FSD beta版的试用权限。
对比客户个人隐私,相较于传统燃油车,智能汽车的数字化场景更多,收集个人信息的场景也更多。从购车咨询、车辆试驾到车辆订购、电池租用、车辆使用及远程车辆管理等,各个环节或都有数据安全,信息安全风险伴随其中。
黑客侵入汽车历史悠久
蔚来汽车当然不是第一个中招的车企,黑客攻击车企的历史可追溯至2002年,涉及多个国际知名汽车品牌。
在此,我挑选几个案例跟大家分享,感兴趣的朋友可以查查相关资料,案例很多。
△ 2002年:黑客初显
黑客开始瞄上了汽车增压器和燃油喷射器的发动机管理技术。
△ 2015年:远程操控车辆
2月,宝马Connected Drive车联网数字服务系统显露出在安全性方面有瑕疵,在短短几分钟内,黑客能够从该漏洞以远程无线的方式侵入车辆内部,并打开车门。
6月,安全专家利用发现的比亚迪汽车云服务平台漏洞,成功利用电脑先后实现了远程开锁、鸣笛、闪灯、开启天窗等操纵,从开始操作到成功破解,只花了不到2分钟的时间。
△ 2017年:范围扩大
5月,日产位于英格兰东北部桑德兰的制造工厂的生产受到勒索软件攻击,该网络攻击袭击了近100个国家/地区。
△ 2018年:偷取信息,发生交易
→1月,在澳大利亚,一名男子因涉嫌入侵汽车共享服务GoGet的数据库并使用被盗凭证免费乘车而被捕。
→1月,黑客能够收集用户身份证号码,模仿它们并将它们用于交易,甚至可以重新连接充电请求并获得对充电站的访问权限。
→2月,黑客入侵特斯拉的亚马逊云账户来挖掘加密货币。
△ 2019年:制造刹车失灵
8月,两名工程师在美国政府的许可下,操控丰田普锐斯车辆突然刹车;操控福特翼虎突然刹车失灵。
△ 2022年:接管多辆车
→1月,德国19岁少年能够在13个不同国家/地区入侵至少25辆特斯拉汽车并进行部分接管。
车主最怕汽车黑客攻击什么?
通过不同的攻击类型及攻击面,黑客可以对目标汽车造成不同程度的危害,例如:
窃取身份信息、远程接管车辆、窃取信用卡等银行信息、关闭车辆、监视车辆乘员、偷盗车内财物、解锁车辆、禁用刹车、更改时间、GPS目的地等信息、强制加速、跟踪车辆、车内空调、雨刮器等远程控制、阻止安全系统、引发交通事故、在车辆上安装恶意软件、驾驶数据下载、更改收音机中的歌曲、调节播放器音量、偷车等...
据媒体统计,车主最担心的是:泄露个人隐私、汽车盗窃、车辆被控制。
相比较个人隐私泄露,汽车安全更让人担忧。如果黑客通过后台操控,控制正在行驶中的车辆速度、刹车、转向等,后果将不可设想。
新能源汽车大数据谁来保护?
那么问题来了,车主的安全、隐私要如何保护?
1、行业监管、法规完善
早在2020年,《新能源汽车产业发展规划(2021-2035)》发布时就明确要健全安全保障体系,打造网络安全保障体系。
今年4月,多部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》,明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。
2、车企第一责任人
作为车企,消费者既然选择了你们,就要承担起用户信息保护的首要责任。
车企要对车主个人信息及大数据进行分类管理,采取加密、去标识化等安全措施,防止未经授权的访问以及个人信息泄露、篡改及丢失等问题,强化信息安全保护工作。
毕竟在智能化信息汽车时代,车企除了做好汽车,维护好后台云端数据库也至关重要。
对此,不少网友表示并不接受蔚来汽车给出的处理办法,他们认为出了问题不能只道歉,后续不了了之。
互动话题:你怎么看黑客侵袭车机?