被勒索的蔚来

12月20日，离NIO Day还有4天，蔚来汽车发了一个公告，说公司被人勒索了。

对方窃取了2021年8月之前部分用户基本信息和车辆销售信息，要价225万美元。蔚来随即表态，坚决不会向网络犯罪行为低头。

然而在蔚来选择“拒付”后，黑客开始了公开兜售。根据网上流传的截图，黑客表示1个比特币（约12万人民币）就可以全部拿走数据。

明明是违法行径，黑客却显得理直气壮，也不忘揶揄蔚来“宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户”。

事实上，蔚来这类因勒索攻击导致企业数据被加密、窃取的事件并非孤例，仅在汽车制造业，通用、福特、大众、丰田、沃尔沃等汽车厂商都曾遇到。

放眼全球，拥有丰富数据、支付能力强的大型企业及政府机关，往往是被勒索攻击的首要目标。

根据国家工信安全中心统计，2021年公开发布的工业领域勒索事件比2020年增长约51.5%，数据勒索成为数量排名第一的工业网络攻击威胁源。

一个棘手的问题摆在了每个企业管理者的案头——在数据勒索逐渐成为网络最大威胁的大背景下，企业如何才能做好数据的安全管理？

根据网上流传的资料，此次蔚来被窃取的不乏蔚来员工数据、订单数据、用户及企业代表联系人数据，此外还包括车主身份证、用户地址、车主亲密关系、车主贷款数据等极为隐私的信息。

值得注意的是，蔚来是目前所有受到勒索的车企当中，少有被窃取用户信息的。

或许由于是蔚来的“用户型企业”身份，业界认为此次黑客勒索的225万美元超出了一般标准，有一种抓住了“痛处”的感觉。

上海一位网络安全领域的资深人士告诉盐财经记者，蔚来选择不缴纳赎金，虽然在国内现行法律上并无过错，但实际上也等于是放弃了对那些数据的索取。这些数据的泄露，很难保证不会动摇潜在消费者购买蔚来产品的信心。

而在蔚来眼下全力推进的欧洲市场，关于用户的数据保护要比中国严格得多。在欧盟通过的一项全面数据保护法《通用数据保护条例》中，如果企业造成大面积的用户数据泄露，很有可能面临最高 2000 万欧元或企业全球年收入 4% 的罚款。此外，数据主体也可要求损害赔偿。

这是众多企业会选择向黑客交钱，息事宁人的主要原因，毕竟比起高昂的罚金，勒索金额似乎要少一些。甚至数据泄露本身也不会传出去，从而影响潜在消费者的购买决策。

蔚来敢选择“拒付”，并把这件事公之于众，恐怕也与国内互联网的用户数据环境有关。

2018年李彦宏就曾发表过一个观点，“中国人更加开放，对隐私问题没有那么敏感。如果他们愿意用隐私交换便捷性，那我们就可以用数据做一些事情。”

虽然这段话曾引起争议，但并未被监管部门纠偏过。

而对于企业遭受勒索软件攻击的责任归属，是否应当赔付个人用户，以及是否应当支付赎金方面，各国消费者调查结果呈现较大分歧。

美国数据公司Veritas Technologies在2020年做过一份调查。这项研究涵盖6个国家和1.2万名消费者，总体来看，71％的消费者希望公司抵御网络欺凌，拒绝支付赎金以取回数据。

但当问题变得更加个人化，直接威胁到自己的数据时，许多被调查者又会改变主意，并希望他们购买服务的企业与不法分子进行谈判。

比如在中国，虽然80％的受访者认为企业一般不应该与勒索者妥协，但是涉及被调查者个人数据时，这一数字急剧下降至16％。

这份报告还得出了一个结论，勒索软件对企业品牌打击巨大，消费者会立刻用脚投票——44％的消费者会停止从遭受过勒索软件攻击的公司那里购买商品。

对于公司的经营者们，防患未然的安全前置部署如今显得极为重要，这是最大限度规避攻击风险、降低攻击成本的有效路径。

细分至车企的话，电气化浪潮下，汽车智能化、网联化程度越来越高，车内联网的部件越来越多，车企及相关零部件厂商该如何保障汽车的信息安全，这是一个重大的课题，每个车企都应该谋求安全能力的升级迭代。

1989年，哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒，AIDS木马。

这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数，一旦超过90次就会对电脑中的文件进行加密，并要求邮寄189美元才能解密重新访问系统。

勒索病毒演化至今，虽然不断在迭代更新，但本质没有重大改变。

黑客们通过系统漏洞、恶意邮件、U盘、共享文件、钓鱼网站、广告弹窗、僵尸网络等方式植入勒索病毒。病毒不断地自我复制和传播，完成扩散后，勒索病毒会篡改电脑中的文件格式进行加密，同时将被感染的文件上传到黑客的服务器。

勒索病毒在加密用户文件时，通常采用的是RSA公钥加密算法。这种算法，密钥长度最高可达2048位，强行破解的算力只有超算才能做到。

这其中最著名的，当属2017年的“WannaCry”病毒。至少150个国家、30万名用户受害，造成超过80亿美元的损失，至此勒索攻击正式走入大众视野并引发全球关注。

而在过去一年，有超过300万公司或者机构成为受害者，造成的损失超过6万亿元人民币。眼下，全球平均每分钟就有6家公司或机构遭受数据勒索攻击。

腾讯研究院产业安全中心主任翟尤表示，以往个人设备在勒索软件攻击目标中一直占据较高比例，但随着传统勒索软件盈利能力的持续下降，对更高利润的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。

而攻击者也开始针对特定企业制定攻击策略，哪些企业掌握大量有价值的数据，哪些企业就越容易遭到攻击。

针对目标企业，攻击者对高价值目标的攻击进行“量身定做”，手法更加多样化。对于大型企业，网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞，产业链中安全薄弱环节均成为攻击者实现突破的关键点。

勒索方式也变得更加贪婪，从单纯的支付赎金即可恢复被加密的数据，逐渐演变成先窃取商业信息和内部机密，而后威胁企业不缴纳赎金将公开数据。

这是一种“双重勒索”，极易引发大规模的行业内部数据泄露事件，使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。

蔚来遭遇的，便是这样的“双重勒索”。

面对这样的勒索，一般情况下只有两条路——要么破财消灾，要么像蔚来那样丢掉数据。

像蔚来这样的制造业企业，之所以现在成为黑客们眼中的“肉票”，这与制造业的流水线有很大关系。

汽车生产线一开，每天的成本数以百万，一旦生产线遭攻击而停工，供应链就会断掉，导致整个产品线停产，这将给品牌带来巨大的损失。

而且有些制造业的数据，属于商业机密级别。除了公开关键数据，有些黑客还有可能将数据卖给受害者的竞争对手，或者卖给专门炒股做空的机构，威胁做空公司股票，以此逼迫企业掏钱。

这样的数据等于企业的命门，是企业绝对不想被他人掌握的。

此外，由于制造业有着众多小企业构成的复杂供应链，有些企业的系统很可能长时间未更新，存在网络安全漏洞，这是黑客们最容易挖到宝的地方。

对于勒索方来说，如今勒索软件并不需要由自己亲自撰写，只需要在暗网上出价即可购买到。甚至赎金谈判和赎金代管，也有专门的团体负责，这些分工体系大大降低了实施数据勒索的技术门槛，这种模式也被称作勒索即服务（RaaS）。

也就是说，只要你有钱或者有渠道，即便不懂黑客技术，愿意来做这一行，也有可能从勒索攻击上分一杯羹。

这就变得很可怕了，尤其是当一家企业的内部员工被这样的团体渗透后，就有可能在公司网络上植入病毒或留下入口，使得勒索病毒的侵入变得更加容易。

另一方面，不同黑客团伙之间也构建了具有精准配合关系的勒索商业联盟，通过共享受害者信息等手段，扩大勒索商业模式，并进一步增强勒索攻击能力和隐蔽性。

难道被勒索的企业，就只能自吞苦果吗？对此，中国电子信息产业发展研究院曾呼吁积极推进勒索攻击治理法治化建设。

我国现行法律还没有针对勒索攻击的专门规定，可考虑借鉴美国、澳大利亚的做法，制定出台反勒索专项法案。

此外，企业需要把各工业控制系统从网络上隔离开，这种网络分割将分离有价值的数据，使它们处于不同的安全区，这样勒索软件难以在系统间扩散。

也有专家建议，要采用存储冗余机制，确保将企业和生产网络进行周期性备份，并在模拟攻击时对备份进行测试。比如将备份文件离线存储，在非离线状态下，也需确保对备份的访问权限仅为只读而非编辑，防止攻击者访问、加密并破坏这些备份文件。

在整个过程中，企业应该做好漏洞生命周期管理，达到动态和可持续的管理。部署漏洞检测安全工具，定时使用漏洞扫描系统，及时发现环境中的漏洞，发现漏洞后要及时下载补丁进行更新，这样才能最大限度预防漏洞被病毒利用。

文中配图部分来源于视觉中国，部分来源于网络

本文首发于南风窗旗下财经新媒体盐财经

    编辑 | 谭保罗、宝珠

值班编辑 | 江江

排版 | 白丁 菲菲

南风窗新媒体 出品

未经授权 禁止转载

欢迎分享至 朋友圈

投稿、投简历：[email protected]