网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:826191985) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


被黑客勒索却不给钱,李斌掏不出 1500 万?

2022-12-23 18:29 推荐: 浏览: 14 字号:

摘要: 蔚来摊上事儿了。 12 月 20 日,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发布公告: 在这个月 11 日的时候,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元(1568 万元人民币)等额比特币。 创始人李...

蔚来摊上事儿了。

12 月 20 日,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发布公告:

在这个月 11 日的时候,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元(1568 万元人民币)等额比特币。

创始人李斌随即发布道歉声明,称 ” 绝不向不法行为妥协 “。

很快,# 蔚来用户数据遭窃取被勒索 225 万美元 #、# 李斌致歉 # 等词条冲上热搜,引起热议。

几天后的平安夜,即将迎来蔚来汽车的 2022 年度 NIO Day,在蔚来的官方首页,吸睛的倒计时跳动着数字,此时此刻被推上风口浪尖的李斌,如坐针毡、如芒刺背、如鲠在喉,留给他的时间不多了。

被上了一课

事情经初步调查,蔚来被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。

被黑客勒索却不给钱,李斌掏不出 1500 万?

一时间网友炸了锅,有的人声讨蔚来不保护用户隐私安全,有的人表示网络安全事件频发,无奈却理解。

为了安抚用户情绪,20 日晚间,创始人李斌在蔚来官方社区就用户数据泄露一事发文致歉。

李斌表示:” 保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”

被黑客勒索却不给钱,李斌掏不出 1500 万?

可是据《Tech 星球》报道,针对用户数据泄露一事,蔚来汽车客服人员表示,不会做出主动赔偿,但 ” 对因本次事件给用户造成的损失承担责任。”

划一下重点:目前蔚来采取的做法是不主动、不负责,只有用户真的因为这件事造成了损失才会承担责任。

1500 万人民币,蔚来不想花,李斌也不想花。那怎么办?只能报警了。可纸是包不住火的。

所以,据蔚来所说,12 月 11 日那一天接到了 ” 恐吓信 “,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。可直到一周有余之后的 20 日,才向公众公开此事。

两处漏洞

数据到底是如何泄露的?是黑客攻击,还是员工泄露?此次事件疑点重重。

” 快 2023 年了还能中勒索病毒,这 IT 得烂成啥样?” 一网友如此评论,表示对于企业遇到黑客攻击事件不理解。

事实上,数据泄露时时刻刻发生。根据 Identify Theft Research Center 中心的数据显示,与 2021 年同期相比,2022 年第一季度实际报告的数据泄露事件数量增加了 14%,达到 404 起。

新能源车市场攻城容易守城难。根据乘联会最新数据显示,2022 年 1 月到 11 月,蔚来汽车累计销量为 106671 台。相比去年同期,其销量上涨了 31.8%。

然而,销量上涨背后,一些基础设施也许并未跟上,这才导致蔚来被上了一课。

如果是黑客所为,那么对方一定是掐好了时间点,特意选定的 ” 良辰吉日 “,因为 12 月 24 日,年度盛典 NIO Day 就要开始了。事情还在发酵,留给蔚来的时间不多了。

被黑客勒索却不给钱,李斌掏不出 1500 万?

历史证明,已经有不少企业为数据泄露买单,而根源就在于 IT 系统的安全性太低。Identify Theft Research Center 数据报告提到重要的一点,数据泄露事件大多数是由网络钓鱼和勒索软件攻击引发的,其他还包括恶意软件、凭证填充和不安全的云工具。

具体案例也很多,今年一家国外企业 Beetle Eye 就发生了一起重大数据泄露事故,由于 AWS S3 存储桶未进行任何加密且配置错误,泄露了大约 700 万人的敏感数据。

还有,微软在 2020 年公开了一起长达 14 年的数据泄露事故,期间 2.5 亿条客户服务和支持记录在网上泄露。公司表示,个人数据在存储之前已从记录中删除,但一些明文电子邮件和 IP 地址被暴露。最后,微软将其归因于内部数据库安全规则的错误配置。

还有一种可能,那就是内部管理对于数据安全的缺失,导致内部员工有意或无意泄露。

今年 4 月,蔚来在一份内部通知中表示,2021 年 9 月 1 日风险管理部门收到相关投诉,声称一位员工利用职位之便,使用公司内部服务器进行了以太坊挖矿,时间长达一年以上。

蔚来强调,该行为已经违反法律,同时也对公司系统安全和业务信息安全产生了负面影响。该涉事员工已承认了自己的行为。

挖矿不仅占用 CPU 资源影响正常服务,还会产生大量的耗电。但蔚来在一年多的时间中都没有发现这一点,足以证明其内部管理存在漏洞。

即便有了 ” 前车之鉴 “,可似乎蔚来并没有怎么放在心上。截至「科技新知」发稿,蔚来依旧没有找到此次数据泄露的 ” 罪魁祸首 “。但可以肯定的是,无论何时,企业都不应将数据安全单纯地托付给任何一款工具,小到员工培训,大到公司的策略和管理,这些环节缺一不可。

然而,这件事情背后也映射出一个更为深刻的问题。根据网上流传的消息,黑客向蔚来喊话:” 给了蔚来两次机会,但是宁愿花费千万请歌手,也不愿买断这部分数据。” 这种重营销、轻技术的商业歪风,何时才能到头?

被黑客勒索却不给钱,李斌掏不出 1500 万?

数据定义软件

有些损失是不可挽回的。

自开启交付至 2021 年 7 月,蔚来汽车共计交付 12.55 万辆汽车。超过 12 万车主的身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息,都成为不法分子索要巨额钱财的筹码。

即使蔚来认栽赎回,然而电子数据是可复制的,或许这些信息早已散落在各个隐秘的角落。

虽然,卢龙称本次数据泄露并不影响车辆驾乘或远程控制,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据);也有分析人士表示,这次泄露的数据,大部分是存储在后端、数据库或者云端的个人数据,黑客如果选择攻击车辆本身,还是有一定的技术门槛,而汽车本身有车载的安全网关也会进行拦截。

但是,用户的不信任,就是一件一件小事聚沙成塔。蔚来此事,似乎又唤起了网友以及用户对于新能源汽车的种种担忧,更是重新挑起了新能源和燃油车两派拥护者之间的矛盾。

” 如果数据安全都这么水,自动驾驶不是很危险?”” 知道为啥买燃油车了吧,电车还是不成熟。” 有网友如此评论。

被黑客勒索却不给钱,李斌掏不出 1500 万?

都说软件能定义一切,因此这些年汽车赛道也刮起了 ” 软件定义汽车 ” 的风。现如今,软件 + 汽车还是一门好生意吗?

看好派认为,软件将在技术、产品、运营理念、组织架构等方面给汽车产业带来全面改变,例如这两年兴起的 OTA,就是从软件的逻辑出发,能使用户从线上进行系统升级和更新。

想让软件发挥最大价值的前提就是收集海量数据,这些沉淀下来的数据,不仅仅是企业的资产,更是属于整个社会的共同资产。

一旦数据管理出现问题,小则影响用户隐私,大则威胁国家安全。因此,种种信号表明,野蛮生长的时期已经结束了,尤其是被软件定义的新能源汽车。

去年 9 月,工信部印发了《关于加强车联网网络安全和数据安全工作的通知》,在加强数据安全保护、健全安全标准体系等六方面提出 17 项具体要求。

今年 4 月,工信部联合公安部、交通运输部等五部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》,明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。

可以预见的是,智能网联汽车在中国的数据管控力度,还会进一步加大。

至于蔚来,以及其他车企,无论乐意与否,都应该尽快摆脱未成年人的心态。在冲销量的同时,不要忘记对用户、社会多负责。

在软件定义一切的时代,人们想生活变得更智能,就得交出数据的管理、使用权。

去年 9 月,一位 2020 款理想 ONE 车主向媒体反应称,理想汽车车机更新时出现的 ” 理想智能系统软件许可协议 “,只给了同意选项,不同意协议甚至无法继续用车。

最隐私、最珍贵的东西被别人攥在手里,除了心里默念 ” 但愿受伤的那个人不是我 ” 之外,别无选择。可是,谁又能真的逃过?

本文来自微信公众号 ” 科技新知 “(ID:kejixinzhi),作者:苌乐

联系站长租广告位!

中国首席信息安全官