零零信安免费提供外部攻击面数据服务，助力本土汽车企业智能化发展

背景
12月20日，蔚来汽车发布相关声明称，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（当前约1570.5万元人民币）等额比特币。

“在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。”蔚来汽车在声明中表示，经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

当日晚间，蔚来创始人、董事长李斌在蔚来官方社区发文致歉。李斌表示：“保护好用户信息安全是我们的责任，我们没有做好，向大家深表歉意，会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件，对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协，也请大家及时提供线索。”

蔚来是一个中国本土的智能电动汽车品牌，于2014年11月25日在上海注册成立，代表国产高端电动汽车参与全球竞争。蔚来致力于通过提供高性能的智能电动汽车与极致用户体验，为用户创造愉悦的生活方式。

新能源汽车智能化发展的同时，数据安全问题日益显著

智能化是汽车产业发展的重要趋势，而数据则是实现智能化的基石。随着汽车智能化程度越来越高，守好数据确保安全，关乎到用户的权益，更关乎行业发展进程。而汽车企业作为数据运营的主体，是数据安全的主体责任。

事实上，近年来随着智能网联技术取得快速发展，关于新能源汽车安全的话题越来越受到关注。有数据显示，过去5年间，黑客对智能汽车攻击的次数增长了20倍，其中近30%的攻击涉及车辆控制。而目前，部分车型在信息安全防护水平方面偏低，车内相关联网部件及控制部件防护可靠性不高，且缺失一定的安全策略，这会导致车内敏感信息泄露或被篡改，以及车辆行驶中的异常行为，还有可能危及人的生命安全。

如何确保汽车安全有序运行，数据合规使用正成为社会关注的焦点。日前，工信部和公安部发布《关于开展智能网联汽车准入和上路通行试点工作的通知（征求意见稿）》，要求在试点城市的限定公共道路区域内开展搭载自动驾驶功能的智能网联汽车上路通行试点，试点车企应具备汽车功能安全、预期功能安全、网络安全、数据安全、软件升级、风险与突发事件等安全保障能力。具备智能网联汽车产品安全监测服务企业平台，可对试点车辆的安全状态进行监测，并建立报告机制。

企业一旦发生数据泄露会对自身的声誉、客户满意度、市场占有量、股价以及企业合规等产生负面影响。企业除了需要对自身在线业务数据、内部商业机密、员工数据等可能出现的泄露情况进行监控，对于数据泄露事发后如何评估影响面、准备应急策略也成为企业面临的一大考验。企业业务数据或用户数据、员工数据泄露会引发一系列安全事件，还有可能面临上级监管部门通报、巨额罚款的风险。

这对处在高速发展的本土智能汽车企业来说，是一次不小的打击和影响，也为本土汽车企业再次敲响了警钟，蔚来汽车在本次泄漏事件中主动承认遭遇信息泄露，并承诺对此次事件给用户带来的损失承担责任。
​

零零信安积极举措

零零信安第一时间决定，以自身技术及产品为本土汽车企业提供有力支持，并且愿意为本土汽车厂商免费提供其外部攻击面数据服务。

零零信安以大数据立体攻防、以攻促防、主动防御、力求取得立竿见影效果的理念，可以为客户提供基于攻击者视角的外部攻击面管理技术产品和服务，其能力覆盖企业信息系统（IP设备、子域名、敏感目录、组件、云端、影子资产、边缘资产）、移动应用、M&A和供应链、漏洞和口令、文档和代码泄露、邮箱和人员列表、企业VIP和管理员、全网情报等风险敞口。
 

零零信安所处EASM技术赛道，即以外部攻击者视角来审视企业自身的风险暴露面。伴随着零零信安EASM的落地应用，将帮助企业持续评估外部风险，并提供早期威胁预警，从而为企业减少攻击面提供有力抓手。EASM产品和服务的应用，也被视为主动防御理念的落地实践。

00SEC-D&D 数据泄露报警系统的风险舆情预警功能不仅能够为企业提供 0day、勒索蠕虫、免杀病毒、定向攻击情报等预警信息；还能为企业第一时间发现全网售卖相关信息，协助企业及时报警、上报有关单位，及时通知受影响用户采取措施等，辅助企业更好地制定应急策略。