曲子龙聊聊蔚来汽车泄露事件大家关注的问题

　　蔚来数据泄露在朋友圈爆了，很多身边的朋友尤其是记者朋友都在找我问，站在中立的角度应该给大家谈一下各位都在关注的问题，内容大概分为以下几个方面：泄露了哪里的数据？数据泄露有哪些风险？是否会被监管处罚？智能汽车有哪些需要考虑的安全问题？泄露了哪里的数据？
　　从网传的泄露截图信息来看，黑客公布的泄露数据主要集中于蔚来公司员工数据、车主用户身份证数据、用户地址数据、注册用户数据、企业及企业代表联系数据、订单及退单数据、车主亲密关系数据、车主贷款数据这几项。
　　这些数据并不是由汽车本身产生的数据，而是在实际业务经营的过程中产生的，比如：员工数据、企业及企业代表联系数据、订单及退单数据、车主贷款数据这些应该是常规公司的OA及CRM数据；而车主注册身份证数据、用户注册数据、车主亲密关系数据应该源于与蔚来用户互动的车主APP。
　　个人认为本次泄露大概率是产生于蔚来公司自己的业务管理后台，就本次泄露事件来看，我觉得大家可以短暂的抛开蔚来是辆智能汽车来看待，和以往的大部分互联网企业数据泄露一样，应该是某个系统存在问题导致数据库被拖库。
　　当然具体到底怎么泄露的还要以蔚来公司自己的调查结果为准。这些数据泄露有哪些风险？
　　对于车主用户核心应该关注的可能就是车主注册数据、身份证数据、以及贷款数据这几个方面，按以往经验这些数据可能包含如下信息：
　　这些数据的泄露最大的风险主要还是集中于被不法分子用于定向诈骗为主，所以接下来的一段时间，蔚来车主对接通的各种电话一定要多加注意，除了有人冒充官方来用各种手段诈骗钱财外，还有可能会被用于非法的恶意营销，比如买不买车？汽车养护？。。。。。。
　　接收到的电话、短信、邮件一定都要格外小心。蔚来是否会被监管处罚？
　　从官方的公告来看：
　　蔚来首席信息安全科学家、信息安全委员会负责人卢龙表示，在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。
　　蔚来官方公告这个举措肯定是满足于国家《网络安全法》第五章监测预警与应急处置的信息通报及应急响应预案的相关要求的。
　　如果最终调查结果和我的推论业务管理后台被黑客攻击导致的数据泄露，可能会面临需要承担《网络安全法》、《数据安全法》中对于数据泄露部分的相关责任。
　　这个还是要以最终调查结果数据到底是否泄露、是怎么泄露的、蔚来汽车是否已经履行了现有合规要求这几个角度综合评估才能得出结论。智能汽车还有哪些需要考虑的安全问题？
　　虽然本次泄露事件应该可以排除汽车本身的数据造成泄露，但是智能汽车的还是存在很多安全问题，需要大家关注。
　　这几年随着智能家居、物联网、车联网各种行业的崛起，给我们生活带来诸多方便的同时，围绕数据上云、硬件及芯片与软件交互、系统交互产生的各种连带风险一样就随之而来。
　　传统的燃油车时代的汽车，需要收集和上传的数据比较少，大部分的交互都是通过近源来实现的，相对风险除了物理的撬车门、钥匙解码、钥匙信号重放攻击去偷车以外，相对风险是比较低的。
　　智能汽车不一样，他们搭载了大量的芯片、传感器、摄像头、麦克风、定位器的同时，又通过网络将智能汽车的系统和云端有各种各样的交互，这些环节就会产生各种我们从未见过的隐患，比如：
　　用于疲劳监测的车内摄像头被利用就会泄露车主车内的个人隐私、车外摄像头停在马路上就是一个天然的远程监控、不止能看到画面麦克风可以获取声音、定位器随时都知道你现在在哪、导航系统会知道曾经去过何处、你的家大概在什么地方、工作在什么地方、还有常去哪里消费。。。。。
　　除了上面的隐私问题，我们还会面临各种远程控制带来的安全风险，比如远程解锁、点火、关闭门窗、自动泊车这些被黑客攻破利用都会存在不同的安全隐患，黑客电影中那些接管了你的车，把你锁在车里不让你出去活活憋死你，在具备一定控制权限的情况下，都会成为现实。
　　除了这些还有更高权限的自动驾驶相关的连带风险，智能汽车的很多控制越来越集中在中控屏的智能系统上，它的权限越高面临的风险越大，这个系统就像一个智能系统它随时和云端都在建立联络，假设被黑客远程接管了智能汽车的中控面板的前提下，通过欺骗系统的方式，调用汽车定速巡航设置时速200kmh的同时锁定你的刹车系统？欺骗自动驾驶开启主动避障并回收掉你的方向盘权限？回收掉你的刹车助力系统？。。。。
　　这些想象虽然只可能会出现在科幻电影里，没有在现实生活中一一发生，但是从技术角度和逻辑上成立的东西，都将给这个行业带来更多的思考和挑战。写在最后
　　大部分的企业都是没出事儿之前各种侥幸心理，出了事情之后哭都来不及，随着现在各种法律法规制度越来越健全，办案都是一案双查原则，并不是你被黑客攻击了你是受害者那么简单，按《网安法》《数据安全法》企业要做到保护这些数据业务，未能尽责的自然也要承担数据泄露、安全事件的连带责任的。
　　行业快速迭代发展的过程中，所有业务上了云，在网络上处理数据的过程中各个环节都暴露了不同的攻击面，恶意的黑客都是逐利的，他们一旦找到机会出手瞄准的就是你的数据还有你的钱，真的要好好重视安全，如果各位有安全诉求，欢迎了解一下网络尖刀，何不专业的人解决专业的事儿，让这么一群真正热爱信息安全的顶尖安全从业者们齐聚一堂，成为你的安全顾问一起守护你辛苦打下的江山？