數(shù)據(jù)泄漏，被勒索225萬美元，蔚來的剛與車主的憂

第一電動大牛作者電動汽車用戶聯(lián)盟 2022-12-22 17:25

2022年12月20日，被勒索的第9天，蔚來終于發(fā)布了聲明。而這也證實了當日有人在網(wǎng)絡上大肆買賣蔚來內部數(shù)據(jù)的事件以及蔚來遭受數(shù)據(jù)泄漏的事實。

對225萬美元等額比特幣的勒索，蔚來的態(tài)度很明確，堅決不會向網(wǎng)絡犯罪行為低頭。同時，也誠懇道歉并承諾會對本次事件給用戶造成的損失承擔責任。

在這一事件中，蔚來數(shù)據(jù)泄漏被黑客勒索值得被人同情，但于此同時，這些被盜竊的信息會落入誰的手中，又會被拿來作何用途，才是懸在蔚來和用戶頭上的達摩克利斯之劍。

在調查結果水落石出之前，誰都無法松下這口氣。

被勒索9天后，蔚來發(fā)出聲明

2022年12月20日，一個名為“蔚來用戶”的賬號在蔚來APP社區(qū)中發(fā)布了一則《揭露蔚來虛偽，對其進行懲罰，保護用戶》的帖子，聲稱：“我們破解了蔚來的大量數(shù)據(jù)，但由于蔚來不愿買斷數(shù)據(jù)，所以決定有償曝光。”

帖子中還貼出了相關數(shù)據(jù)頁面的截圖，并描述了這些數(shù)據(jù)的具體數(shù)量、指向對象、售賣對象以及售價。其中包含了蔚來內部員工數(shù)據(jù)2.28萬條、車主用戶身份證數(shù)據(jù)39.9萬條、車主貸款數(shù)據(jù)17萬條、車主數(shù)據(jù)12.5萬條、用戶地址數(shù)據(jù)65萬條、車主親密數(shù)據(jù)36萬條、蔚來注冊用戶數(shù)據(jù)485萬條、訂單數(shù)據(jù)49萬條和退單數(shù)據(jù)9萬條，以及企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù)1萬條。而所有這些數(shù)據(jù)打包價為1比特幣。

除了在蔚來APP中發(fā)帖以外，根據(jù)網(wǎng)絡流傳的截圖，這名“蔚來用戶”還在微信群中發(fā)送了相同的內容。

下午16時左右，蔚來首席信息安全科學家，信息安全委員會負責人盧龍在蔚來APP社區(qū)中發(fā)布了一則《關于數(shù)據(jù)安全事件的聲明》，對這一事件做出了回應。

從回應中可以了解到，12月11日蔚來就已經收到了外部郵件，對方聲稱擁有蔚來內部數(shù)據(jù)，并向蔚來勒索225萬美元等額比特幣（折合人民幣1568萬元），按照安全事件響應機制，蔚來在當天成立了專項應急小組。

根據(jù)蔚來的初步調查，被竊取的數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售數(shù)據(jù)。盧龍也在帖子下進一步補充：“本次事件不涉及車輛使用中產生的數(shù)據(jù)（如行車軌跡、座艙數(shù)據(jù)），也不影響車輛的乘駕或遠程控制。”

李斌本人也對這次事件進行了道歉，表示會承擔起相關的責任，也會追查到底，不會與不法行為妥協(xié)。

蔚來用戶：怎么負責？

在回應中，蔚來和李斌均表示會對此次事件給用戶造成的損失承擔責任，這種愿意負責任的態(tài)度在大多數(shù)人看來是值得肯定的，但是不少蔚來用戶卻并不買賬。

首先是針對蔚來發(fā)聲明的舉措。

有用戶認為個人隱私泄露是大事，蔚來沒有對用戶做充分的信息披露，也沒有相應的事件后續(xù)說明。

同時，有人從數(shù)據(jù)情報工作者的身份指出了事件的嚴重程度，并對聲明中沒有對所泄露信息范圍和信息內容進行說明的做法提出了質疑。

其次是針對信息泄露之后，蔚來要如何承擔責任。

有用戶非常犀利地指出了信息被泄露之后的舉證問題，認為即便給用戶造成了損失，也無法對證。

最后，事件既然已經發(fā)生了，當務之急是蔚來會做出什么樣的補救措施。這位車主希望蔚來可以給出一些實用的方法，讓用戶擺脫被動局面。

我們從《蔚來汽車隱私政策》上了解到，對于安全事件的響應，蔚來需要按照法律法規(guī)的要求，及時向用戶告知“安全事件的基本情況和可能的影響、他們已經采取的或將要采取的措施、以及用戶可以自主防范和降低風險的建議、對用戶的補救措施等”。但目前來看，這一塊的舉措仍是缺失的。

而且，從隱私政策上我們也發(fā)現(xiàn)，針對蔚來汽車產品/服務收集信息的場景非常多，一共包含了以下16個場景：賬戶注冊與登錄、購車咨詢與車輛試駕、車輛訂購、電池租用服務、融資租賃服務、保險服務、電子協(xié)議簽署、車輛使用與遠程車輛管理、車主服務于售后服務、商城購物及支付、社區(qū)與即時通訊、活動報名、客戶服務、運營安全與保障、信息推送、業(yè)務經營以及分析改進。

收集的信息包括：個人信息、車輛信息、設備信息、日志信息、活動信息等多個方面的用戶信息。那么此次安全事件所泄露的用戶信息究竟包含了哪些具體的內容，是如黑客所稱的，包含了車主用戶身份證、貸款數(shù)據(jù)、用戶地址數(shù)據(jù)、車主親密等等，還是只是蔚來初步調查所得知的車主基本信息和車輛訂單數(shù)據(jù)？這些都需要蔚來盡快給出答復。

蔚來的信息安全過往

隨著汽車智能化程度的不斷加深，近幾年，汽車行業(yè)遭遇黑客攻擊和勒索的事件也開始層出不窮。今年以來，包括現(xiàn)代、起亞、沃爾沃、通用、寶馬、英偉達等汽車和供應商企業(yè)，都被曝出遭遇黑客攻擊的事件。

蔚來執(zhí)行副總裁兼產品委員會主席周欣曾表示:“蔚來在成立之初，就已意識到，相比于傳統(tǒng)汽車，智能網(wǎng)聯(lián)汽車面臨著更多的信息安全挑戰(zhàn)：用戶觸點和功能多，數(shù)據(jù)類型和規(guī)模大，網(wǎng)絡連接多樣化，智能駕駛系統(tǒng)復雜度高?！?/span>

因此，前期蔚來在信息安全方面可以說是下了大工夫。并且，在去年的12月22日，蔚來就獲得了UN R155（聯(lián)合國歐洲經濟委員會第155號法規(guī)）車輛網(wǎng)絡安全管理體系認證，成為全球首批、中國首個獲得此項認證的公司。

“得益于該體系的建設，蔚來具備了更高安全級別的道路車輛以及相關產品的研發(fā)能力和管理體系，保障產品抵御網(wǎng)絡安全威脅，在用戶或者相關產品在受到或者可能面臨網(wǎng)絡安全威脅的時候能夠以最快的速度以及有效的方式進行響應，幫助用戶消減風險。切實保護用戶的資產以及人身安全”，蔚來執(zhí)行副總裁兼質量委員會主席沈峰博士也曾提及該體系的有效性。

不料，獲得認證一年之后，卻發(fā)生了這樣一次數(shù)據(jù)安全事件。雖然蔚來稱并未涉及到車輛使用中產生的數(shù)據(jù)，也不會影響車輛的乘駕或遠程控制，但是也給蔚來的信息安全工作敲了警鐘。

黑客的攻擊行為固然是造成信息泄露的直接原因，但絕不能只歸罪于外因，內因才是根本。

除了這次數(shù)據(jù)泄漏，有車主對車輛購買、保險續(xù)保時，蔚來在用戶信息收集和使用上的一些做法和安全等級也略有不滿。