勒索金額超千萬元！蔚來部分?jǐn)?shù)據(jù)被黑客竊取 李斌出面：我們不會妥協(xié)

每經(jīng)記者 段思瑤  董天意    每經(jīng)編輯 裴健如

12月20日，蔚來首席信息安全科學(xué)家、信息安全委員會負(fù)責(zé)人盧龍在蔚來官方社區(qū)發(fā)布公告稱，12月11日，公司收到外部郵件，聲稱擁有蔚來內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬美元（約合人民幣1567萬元）等額比特幣。在收到勒索郵件后，公司當(dāng)天即成立專項小組進行調(diào)查與應(yīng)對，并第一時間向有關(guān)監(jiān)管部門報告此事件。經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

針對此事，《每日經(jīng)濟新聞》記者第一時間向蔚來汽車方面詢問該事件的最新進展，相關(guān)人員僅回應(yīng)稱以上述公告內(nèi)容為準(zhǔn)。

12月20日晚，就數(shù)據(jù)泄露一事，蔚來創(chuàng)始人、董事長、首席執(zhí)行官李斌在蔚來官方社區(qū)致歉。李斌表示，“保護好用戶信息安全是我們的責(zé)任，我們沒有做好，向大家深表歉意，會對此次事件給用戶帶來的損失承擔(dān)責(zé)任。我們會協(xié)同有關(guān)部門深入調(diào)查此次事件，對竊取和買賣此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底。我們不會與不法行為妥協(xié)，也請大家及時提供線索。”

12月21日早間，蔚來（09866.HK）針對此事再度于港交所發(fā)布公告稱，公司得知2021年8月之前部分中國用戶信息及車輛銷售數(shù)據(jù)在網(wǎng)上被第三方違法出售。蔚來已在中國就該事件發(fā)布公開聲明，其中提供了解答用戶就數(shù)據(jù)泄露事件疑問的專門熱線及郵箱地址。此外，公司承諾其對因數(shù)據(jù)泄露事件給用戶造成的損失承擔(dān)責(zé)任。蔚來對此次事件深表歉意，并采取一切可能方式支持其用戶。蔚來持續(xù)與相關(guān)政府部門合作調(diào)查此事件，并采取必要措施控制潛在損失。

圖片來源：披露易截圖

一張疑似網(wǎng)傳截圖顯示，有人宣稱破解了蔚來大量數(shù)據(jù)，并明碼標(biāo)價出售：“近日，我們破解了蔚來大量數(shù)據(jù)，同時給了蔚來兩次機會，但是蔚來寧愿花費千萬請歌手，也不愿意買斷這部分?jǐn)?shù)據(jù)來保護各位車主和用戶，因此決定有償曝光。”

圖片來源：網(wǎng)傳截圖

其列出的數(shù)據(jù)涉及蔚來的經(jīng)營以及客戶隱私，包括蔚來員工數(shù)據(jù)、訂單數(shù)據(jù)、用戶及企業(yè)代表聯(lián)系人數(shù)據(jù)，還包括車主身份證、用戶地址，甚至車主親密關(guān)系、車主貸款數(shù)據(jù)等極為隱私的信息，這些信息被明碼標(biāo)價進行出售。例如：1.蔚來內(nèi)部員工數(shù)據(jù)22800條，包含總裁到一線員工，從事新能源招聘和獵頭工作的可以關(guān)注，售價0.15比特幣；2.車主用戶身份證數(shù)據(jù)399000條，從事黑灰產(chǎn)的可以關(guān)注，售價0.25比特幣；……8.車主親密關(guān)系數(shù)據(jù)360000條，挖掘社會關(guān)系的可以關(guān)注，售價0.2比特幣；9.車主貸款數(shù)據(jù)170000條，售價0.1比特幣。

“也是針對這一言論，我們發(fā)布了上述公告。”上述蔚來汽車相關(guān)人員稱。根據(jù)上述公告內(nèi)容，蔚來方面表示，“對因本次事件給用戶造成的損失承擔(dān)責(zé)任。竊取、買賣此類數(shù)據(jù)是違法犯罪行為，公司對此予以嚴(yán)厲譴責(zé)，也堅決不會向網(wǎng)絡(luò)犯罪行為低頭。我們將協(xié)同有關(guān)執(zhí)法部門深入調(diào)查此次事件，并依法堅決打擊相關(guān)的數(shù)據(jù)竊取、買賣行為。”

從目前來看，蔚來用戶對此次數(shù)據(jù)泄露反應(yīng)強烈。一位蔚來汽車用戶在某平臺上留言稱，“這是怎么被竊取的，得查清楚，信息安全方面有漏洞，肯定是嚴(yán)重的問題。蔚來能夠認(rèn)真對待這個事情，應(yīng)該是已經(jīng)有了對策，希望把這個事情處理好。”也有網(wǎng)友表示：“蔚來這什么操作，不是應(yīng)該以用戶安全為第一位嗎？”“點贊蔚來 不低頭，不妥協(xié)。”

圖片來源：新浪微博

圖片來源：新浪微博

需要注意的是，曾遭遇到類似困擾的車企并非只有蔚來。2019年，因黑客入侵服務(wù)器，豐田部分銷售子公司超過310萬名客戶信息被竊取，雖然事后豐田強調(diào)泄露的信息中并不包含用戶的細(xì)節(jié)財務(wù)信息，但也并未完全披露被盜的數(shù)據(jù)類型。

今年10月，據(jù)路透社報道，豐田汽車在一份聲明中表示，使用其T-connect服務(wù)的約29.6萬名客戶的個人信息可能已被泄露，包括電子郵箱地址和客戶編號等，但其他敏感信息如姓名、電話號碼和信用卡信息等均未受到影響。

上述報道稱，豐田汽車調(diào)查發(fā)現(xiàn)，客戶信息之所以被泄露，是因為開發(fā)T-connect網(wǎng)站的承包商將部分源代碼上傳到GitHub賬號上，并意外將權(quán)限設(shè)置成“公開”，時間為2017年12月至2022年9月15日。據(jù)悉，可能受影響的主要是在2017年7月之后使用電子郵箱注冊豐田汽車T-connect服務(wù)的客戶。

對此，豐田中國相關(guān)負(fù)責(zé)人在接受《每日經(jīng)濟新聞》記者采訪時表示，“這個情況是在日本發(fā)生的，跟中國沒有關(guān)系，主要是使用T-connect服務(wù)的客戶的郵箱地址和內(nèi)部管理的號碼有被竊取的可能，別的信息都不受影響。”

今年5月，通用汽車曾發(fā)布聲明稱，其注意到2022年4月11日至29日期間，部分在線客戶賬戶出現(xiàn)了可疑登錄，導(dǎo)致在未經(jīng)用戶授權(quán)的情況下，客戶的獎勵積分被兌換成了禮品卡。盡管通用汽車方面在發(fā)現(xiàn)問題后立刻暫時禁用了該功能，但黑客仍舊通過在線移動應(yīng)用程序獲取了部分客戶的個人信息，包括姓名、郵箱地址、郵寄地址、綁定賬戶的姓名、電話、興趣點收藏、安吉星所訂閱的套餐、個人頭像、搜索歷史等。

“客戶的個人信息安全對我們至關(guān)重要。我們正在迅速采取行動，繼續(xù)保護我們的客戶及其個人信息。”通用汽車發(fā)言人在一份聲明中表示。

去年6月，大眾汽車方面也曾表示，有將近330萬名客戶或潛在買家的數(shù)據(jù)遭泄露，具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。大眾汽車方面稱，這是由于其供應(yīng)商在2019年8月至2021年5月期間將客戶數(shù)據(jù)“未經(jīng)保護”地留在互聯(lián)網(wǎng)上。

事實上，近年來隨著智能網(wǎng)聯(lián)技術(shù)取得快速發(fā)展，關(guān)于新能源汽車安全的話題越來越受到關(guān)注。有數(shù)據(jù)顯示，過去5年間，黑客對智能汽車攻擊的次數(shù)增長了20倍，其中近30%的攻擊涉及車輛控制。另據(jù)IBM安全情報部門發(fā)布的報告顯示，2021年制造業(yè)已超過金融和保險業(yè)，成為最多遭到網(wǎng)絡(luò)犯罪團伙攻擊的行業(yè)。此外，由于智能穿戴設(shè)備、車聯(lián)網(wǎng)、醫(yī)療設(shè)備等行業(yè)與用戶個人關(guān)聯(lián)緊密，此類廠商遭到攻擊后往往也伴隨著大規(guī)模個人信息泄露的風(fēng)險。

圖片來源：視覺中國

而目前，大部分的車型在信息安全防護水平方面偏低，車內(nèi)相關(guān)聯(lián)網(wǎng)部件及控制部件防護可靠性不高，且缺失一定的安全策略，這會導(dǎo)致車內(nèi)敏感信息泄露或被篡改，以及車輛行駛中的異常行為，還有可能危及人的生命安全。

如何確保汽車安全有序運行，數(shù)據(jù)合規(guī)使用正成為社會關(guān)注的焦點。日前，工信部和公安部發(fā)布《關(guān)于開展智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點工作的通知（征求意見稿）》，要求在試點城市的限定公共道路區(qū)域內(nèi)開展搭載自動駕駛功能的智能網(wǎng)聯(lián)汽車上路通行試點，試點車企應(yīng)具備汽車功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、軟件升級、風(fēng)險與突發(fā)事件等安全保障能力。具備智能網(wǎng)聯(lián)汽車產(chǎn)品安全監(jiān)測服務(wù)企業(yè)平臺，可對試點車輛的安全狀態(tài)進行監(jiān)測，并建立報告機制。

封面圖來源：每經(jīng)記者 李星 攝（資料圖）