勒索225万！蔚来数据遭黑客窃取，所有车主都要注意了

作者：今纶

我对新能源车是有好感的，确实够智能，够省燃油费，而且确实很适合在市内开着上下班，所以对所有黑新能源车的帖子都一笑而过。

不过，就数据安全而言，新能源车一直都没完全过坎，动不动就爆个大新闻，让人痛心疾首或者瑟瑟发抖。

2018年7月，网络安全公司UpGuard的安全研究员Vickery报告称，来自特斯拉、丰田、福特、通用、菲亚特克莱斯勒以及大众等100多家厂商的近4.7万件敏感文件、机密数据被发布到了网上。

受泄漏影响的100多家公司均有着一家共同服务器提供商，Vickery表示，他在这家公司的备份服务器上找到了这些数据，这些服务器没有密码保护，因而获知其位置的任何人都可以从中获取数据，甚至不需要“黑入”。这叫“裸奔”，这里面涉及燃油车厂商和新能源车厂商，这些都是海外车企。

还有国内车企，2022年12月，蔚来数据遭窃取，部分车主信息泄露，公司被勒索225万美元。蔚来表示，坚决不会向网络犯罪行为低头。

01

保密能力和数据要匹配

这不是蔚来第一次在网络安全方面出问题。2021年9月1日，蔚来风险管理部门收到相关投诉，投诉表明该公司的一位员工利用职位之便，使用公司内部服务器进行了以太坊挖矿，时间长达一年以上。

一位员工使用公司内部服务器“挖矿”，不是一天两天，而是365天，蔚来风险管理部门一直没发现。

要知道，“挖矿”这事儿占用CPU资源可能影响正常服务，还有就是明显耗电。但是风险管理部门面对数据异常，面对电费异常，完全没反应，直到接到投诉才知道，这实在是有点迟钝。

这员工要是不是“挖矿”，而是干点别的呢？想想就背部发冷。

风险管理人员应该如猎人一样，在公司的网络、数据、办公空间巡逻，寻找可能的异常，然后迅速主动解决问题，而不是被动解决问题。

这一次又是一样，黑客已经把门攻破了，把数据偷走了，把勒索信扔到蔚来脸上了，蔚来才反应过来。

当然，数据安全是个薄弱环节，非蔚来一家“独有”，多数新能源车厂家的数据安全工作做得也很一般，只不过这次运气好，躲过了黑客的飞刀而已。

怎么办？

我想办法肯定有，但需要各方配合。

从厂家这一端来说，数据安全工作要提升是肯定的，但提升到多高就够了，是个没有止境的事儿。应该说，斗法时刻都在进行。

所以，还有一个办法，那就是不要收集那么多数据，控制住自己不断向车主收集、索取数据的强迫症。

现在几乎所有的新能源车厂家都有一个毛病，无止境地向用户索取数据，美其名曰“为你好”，改善产品使用性能。不可否认，绝大部分数据确实被用到了正道上，但是只要有少部分被泄漏，事情就大了。

今年6月，德国柏林警方和政府刑事调查办公室负责人宣布，禁止特斯拉品牌的汽车进入他们的单位。并且，警察总部和州刑事警察局等部门，禁止购买特斯拉制造的汽车作为共用财产。原因是柏林警方获悉“特斯拉的所有车型都会对车辆环境进行永久性、不显眼的视频记录，并将这些记录导出”，这些记录“永久存储在特斯拉位于德国国外的荷兰服务器上”。

6月29日，起亚汽车发布了《360°全景功能关闭通知》公告。公告中起亚汽车表示，“根据国家个人信息保护及汽车数据安全管理相关法律法规的要求，自7月11日起，将关闭 360°全景功能。”

原因很简单，车企收集的数据非常多，远程信息处理日志数据（车速、刹车和加速系统、安全系统、电子制动器等信息）、车辆驾驶行为数据（装载及使用情况、包括里程、能耗、行驶时间、平均速度)、车载导航应用数据（导航目的地、导航实时数据、行驶轨迹、主动收藏的位置）、导航实时数据、行驶轨迹、导航设置数据以及车载娱乐系统资料等应有尽有。

搜完一合成一处理，车主完全没有隐私，万一泄漏，后果不堪设想。

更离谱的是，某款车的车主向媒体反映称，该车汽车车机更新时出现的“智能系统软件许可协议”，只给了同意选项，不同意协议甚至无法继续用车。

新能源车要数据要迭代，我完全理解，可是保密能力和索取的数据要匹配呀，你只索取数据，对数据安全没有完全保障，你要那么多数据干什么？等着被偷？

没错，数据足够了，你可以把车改得更好，你可以通过渠道推送更多商品给用户，可是这和车主所冒的风险相比，不值一提。

车，本质上是个运输工具，燃油车当然也是，如果某人开了一辆新能源车时刻要担心数据泄漏，这真的好吗？如果新能源车记录下他的容貌、声音、喜怒哀乐，这些数据在服务器被偷了，被人以几块钱的价格卖了，然后收到无数的推销电话，这合适吗？

02

车主有权选择不授权数据

当然，我不是说燃油车有多么好，历史潮流还是不可阻挡的。

燃油车时代，车保险快到期时，各大保险公司业务员一样每天打电话发短信骚扰你，传统车企的4S店早把信息卖光了。

诚然，国家目前对汽车数据内容、采集、管理、传输的涉密与脱敏的建规立法正在加速进行当中，未来会有改观。

但我想提一个更简单的解决方案，即把数据的委托权、处置权还给车主。什么意思？

管理部门、车企应该明确这样一个规则：车主的数据应该是车主负责。我不给你，你不能抢，也不能强迫我给你。

因此，正常的行业规则是：车主有权选择不授权任何数据给车企，但依然可以正常使用新能源车，就是少一点自适应和人工智能带来的舒适感而已。

什么意思？我们知道，车主授权新能源车收集、加工、使用自己的数据之后，本质上是一个车学习人的习惯、声音、指令的过程，用起来，感觉人车合一，因为车越来越了解人，因为数据在不断优化，讨车主喜欢。

这和某些短视频APP一样，你越喜欢看宠物，平台就越来越多给你推宠物短视频，这叫“大数据爱你”，大数据让你欲罢不能。

可是，如果我不希望车来揣测我的习惯，因为这样有一种被操纵感觉，很不爽，我应该有权拒绝所有的数据收集。

开新能源车如果能像开一台普通燃油车一样，只是不用油，用电而已，这样可不可以？理论上是可以的。

有些车主不希望自己的数据“裸奔”的，因为他们很珍惜自己的隐私，他们希望要一辆纯净版的新能源车，有几个厂家能做到？

既然，我不授权数据给车企，自然就不存在泄漏了。那么，为什么车企不肯这么干？

你看，数据安全的问题是可以从两个方向解决的：

第一，尽量不搜集，非必要不搜集，这是从车企的角度来说。

第二，授权给车主自选，车主可以完全不授权给车企任何数据，这是从车主的角度来说的。

在数据安全难以得到保障的前提下，车企不要太贪婪，不要做一头数据怪兽，什么数据都想“吃”，一点一点改进，一点一点夯实数据安全的围墙，这才是最实在的。

数据安全正在卡新能源车的脖子，必须想想办法了。