本文来自微信公众号:超电实验室(ID:SuperEV-Lab),作者:王磊、楚门,原文标题:《蔚来被敲诈1500万!李斌称决不妥协,黑客:用户数据有偿曝光》,题图来自:视觉中国


蔚来被勒索了,赎金是225万美元等额比特币(约人民币1568万元)


一个堂堂三地上市的公司,新造车老大,却被一群黑客给黑了。


在收到勒索邮件后,蔚来当天即成立专项小组进行调查与,并第一时间向有关监管部门报告此事件。


经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。


自开启交付至2021年7月,蔚来共计交付了12.55万辆汽车。


蔚来的态度强硬,对方也恼羞成怒,决定公开售卖相关数据。


目前这一事件还在持续发酵,其实随着智能网联的渗透和车联网的大规模应用,汽车已经成为行驶在马路上的手机,这些智能汽车也面临着诸多安全和隐私的威胁。而蔚来不是第一个,更不是最后一个。


明码标价的数据


根据蔚来所述,被泄露的数据包含“用户基本信息”。


蔚来信息安全委员会负责人卢龙称,本次数据泄露并不影响车辆驾乘或远程控制,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),目前他们还在进一步调查数据泄露的原因和影响范围。


有分析人士表示,这次泄露的数据,大部分是存储在后端、数据库或者云端的个人数据,黑客如果选择攻击车辆本身,还是有一定的技术门槛,而汽车本身有车载的安全网关也会对此进行拦截。


不过网传图片显示,蔚来被泄露的数据并不只是用户的信息,还包括蔚来内部员工的数据、订单数据、用户及企业代表联系人信息。


细看之下,竟然还包括车主身份证、家庭地址,甚至连车主的亲密关系、贷款数据等极为隐私的内容也赫然在内,而这些信息已经被黑客们全部明码标价。


来源:网传的被明码标价的数据<br>
来源:网传的被明码标价的数据


其中,蔚来的车主用户身份证数据有399000条,“售价”0.25比特币,用户地址650000条,标价0.15比特币。


蔚来内部员工数据22800条,包含总裁到一线员工,“售价”0.15比特币。


490000条订单及90000条退单数据,标价0.15比特币。


此外还有蔚来app用户的注册数据、车主贷款信息等等内容,“售价”从0.15到0.25比特币不等。


对方甚至还贴心地给出了“提醒”,猎头可以关注员工数据,竞争对手可以关注注册用户和订单以及退单数据。


对方表示,“蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此我们决定有偿曝光。”


来源:网传的被明码标价的数据
来源:网传的被明码标价的数据


这些黑客表示,已经给了蔚来两次机会。


此外要指出的是,蔚来称在12月11日就收到了被勒索的邮件,直到昨天才对外公布。并称是注意到有人在网上出售蔚来相关数据,才做出的声明,所以也有用户质疑是蔚来是“被迫”回应。


而本周六,12月24日平安夜,正是蔚来汽车的2022年度NIO Day。


这些被兜售的数据是如何泄露的?


蔚来客服表示,公司内部正在进行调查,目前暂时还不清楚数据泄露的原因,有进一步的信息会在蔚来官方社区公告。


有业内人士分析,这次数据泄露,大概率不是通过车本身泄露,而是通过后台数据库泄露的


蔚来怎么回应?


当泄露事件已经发生后,如何挽救,如何补偿用户才是一家车企最应该思考的问题。


就在泄露事件曝光当晚,李斌就针对蔚来用户数据遭窃取被勒索巨额赎金的事件,在蔚来官方社区致歉。


李斌在致歉的同时,还明确了态度,不会和不法行为妥协,也请大家及时提供线索。


来源:蔚来<br>
来源:蔚来


另外,蔚来官方也提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址,公司还承诺,对因数据泄露事件给用户造成的损失承担责任。


并声称采取一切可能的方式支持其用户,蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。


来源:蔚来<br>
来源:蔚来


其实对于用户来说,他们在意不是车辆使用中产生的数据,而是自己的身份和地址数据被曝光,更为隐秘的是还有自己的贷款数据,这些数据更容易被一些不法分子拿去做坏事。


这已经不是蔚来第一次出现信息泄露的事件,早在2019年9月份,有几名车评人在社交平台联合质疑蔚来涉嫌记录车主行程数据,并泄漏私密旅程信息。


来源:微博<br>
来源:微博


而且就在同月份,有媒体也曾公开质疑蔚来存在隐私问题,其测评文章中提及,蔚来ES8全车带有多角度摄像头,包含车外7个/车内3个,以及车内8个可以精准定位声源位置的隐藏式麦克风,且在行驶中可以随时将用户的定位、行驶轨迹数据上传给蔚来中心。


现如今信息泄露的事件已经确确实实发生了,蔚来需要考虑的就是在后续如何维护好其他用户的隐私,以及安抚用户的情绪。


有用户在咨询了蔚来官方客服后给出的说法是,不会主动赔偿,但对因本次事件给用户造成的损失承担责任。蔚来客服同时表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎,不能透露个人信息。


“裸奔”已成事实


去年4月,全球5.33亿Facebook用户的个人信息出现在一个黑客网站上,包括用户的电话号码和电子邮件地址,有的还包含了用户的真实姓名和具体位置。


11月29日,因未能防止5亿多Facebook用户的个人数据被泄露,爱尔兰数据保护委员会宣布对Meta Platforms Inc.处以巨额罚款,让个人隐私保护再次成为舆论焦点。


随着电动化和智能化的协同发展,软件定义汽车的时代让汽车与互联网不可避免地相遇了,用户隐私问题自然也就延伸到汽车行业。


过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。


另外,目前市面上大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高。这就意味着,车内敏感信息一旦泄露或被篡改,就会导致车辆行驶发生异常,甚至有可能危及人的生命安全。


远的暂且不聊,今年10月份,就有两家知名汽车厂商几乎同时遭遇汽车信息泄露事件,分别是法拉利和丰田。


RansomEXX勒索软件团伙在其数据泄露网站上发帖,声称成功入侵法拉利的网络并窃取了6.99GB数据,其中包括了内部文档、信息数据表等。


而就在这起事件发生后没两天, 丰田汽车公司旗下T-Connect服务出现安全事故,近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等,影响范围包括2017年7月以来使用电子邮件地址注册服务的用户。


再到现在蔚来因为信息泄露被勒索225万美金的事件,也再次为汽车数据安全敲响警钟。


好消息是,2020年,《新能源汽车产业发展规划(2021-2035)》发布,特别提到要打造网络安全保障体系。


去年9月,为了推进实施规划,加强车联网网络安全和数据安全管理工作,工信部印发了《关于加强车联网网络安全和数据安全工作的通知》,在加强数据安全保护、健全安全标准体系等六方面提出17项具体要求。


今年4月,工信部联合公安部、交通运输部等五部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》,明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。


来源:工信部<br>
来源:工信部


在个人信息安全防护方面,《意见》明确提出,企业内部要制定管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。


可以说,国家出台了一些列相关的法规政策,来规范企业保护用户信息安全。


但这仅仅只是开始,智能汽车什么时候做到“百毒不侵”,用户才能卸下心防,坦然接受让渡隐私换来的便利。


本文来自微信公众号:超电实验室(ID:SuperEV-Lab),作者:王磊、楚门