本文来自微信公众号:NBD汽车 (ID:NBD-AUTO),作者:段思瑶、董天意,原文标题:《勒索金额超千万元!蔚来部分数据被窃取 李斌出面:我们不会妥协》,题图来自:视觉中国


12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,12月11日,公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(约合人民币1567万元)等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。


针对此事,《每日经济新闻》记者第一时间向蔚来汽车方面询问该事件的最新进展,相关人员仅回应称以上述公告内容为准。


图片来源:每经记者 李星 摄(资料图)<br>
图片来源:每经记者 李星 摄(资料图)


12月20日晚,就数据泄露一事,蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉。李斌表示,“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。


12月21日早间,蔚来(09866.HK)针对此事再度于港交所发布公告称,公司得知2021年8月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。此外,公司承诺其对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意,并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。


图片来源:披露易截图<br>
图片来源:披露易截图


一张疑似网传截图显示,有人宣称破解了蔚来大量数据,并明码标价出售:“近日,我们破解了蔚来大量数据,同时给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此决定有偿曝光。”


图片来源:网传截图<br>
图片来源:网传截图


其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息,这些信息被明码标价进行出售。例如:


1.蔚来内部员工数据22800条,包含总裁到一线员工,从事新能源招聘和猎头工作的可以关注,售价0.15比特币;

2.车主用户身份证数据399000条,从事黑灰产的可以关注,售价0.25比特币;

……

8.车主亲密关系数据360000条,挖掘社会关系的可以关注,售价0.2比特币;

9.车主贷款数据170000条,售价0.1比特币。


“也是针对这一言论,我们发布了上述公告。”上述蔚来汽车相关人员称。根据上述公告内容,蔚来方面表示,“对因本次事件给用户造成的损失承担责任。窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。我们将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。”


从目前来看,蔚来用户对此次数据泄露反应强烈。一位蔚来汽车用户在某平台上留言称,“这是怎么被窃取的,得查清楚,信息安全方面有漏洞,肯定是严重的问题。蔚来能够认真对待这个事情,应该是已经有了对策,希望把这个事情处理好。”也有网友表示:“蔚来这什么操作,不是应该以用户安全为第一位吗?”“点赞蔚来 不低头,不妥协。”



图片来源:新浪微博


需要注意的是,曾遭遇到类似困扰的车企并非只有蔚来。2019年,因黑客入侵服务器,丰田部分销售子公司超过310万名客户信息被窃取,虽然事后丰田强调泄露的信息中并不包含用户的细节财务信息,但也并未完全披露被盗的数据类型。


今年10月,据路透社报道,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等,但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响。


上述报道称,丰田汽车调查发现,客户信息之所以被泄露,是因为开发T-connect网站的承包商将部分源代码上传到GitHub账号上,并意外将权限设置成“公开”,时间为2017年12月至2022年9月15日。据悉,可能受影响的主要是在2017年7月之后使用电子邮箱注册丰田汽车T-connect服务的客户。


对此,丰田中国相关负责人在接受《每日经济新闻》记者采访时表示,“这个情况是在日本发生的,跟中国没有关系,主要是使用T-connect服务的客户的邮箱地址和内部管理的号码有被窃取的可能,别的信息都不受影响。”


今年5月,通用汽车曾发布声明称,其注意到2022年4月11日至29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。尽管通用汽车方面在发现问题后立刻暂时禁用了该功能,但黑客仍旧通过在线移动应用程序获取了部分客户的个人信息,包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏、安吉星所订阅的套餐、个人头像、搜索历史等。


“客户的个人信息安全对我们至关重要。我们正在迅速采取行动,继续保护我们的客户及其个人信息。”通用汽车发言人在一份声明中表示。


去年6月,大众汽车方面也曾表示,有将近330万名客户或潜在买家的数据遭泄露,具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。大众汽车方面称,这是由于其供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。


事实上,近年来随着智能网联技术取得快速发展,关于新能源汽车安全的话题越来越受到关注。有数据显示,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。另据IBM安全情报部门发布的报告显示,2021年制造业已超过金融和保险业,成为最多遭到网络犯罪团伙攻击的行业。此外,由于智能穿戴设备、车联网、医疗设备等行业与用户个人关联紧密,此类厂商遭到攻击后往往也伴随着大规模个人信息泄露的风险。


而目前,大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这会导致车内敏感信息泄露或被篡改,以及车辆行驶中的异常行为,还有可能危及人的生命安全。


如何确保汽车安全有序运行,数据合规使用正成为社会关注的焦点。日前,工信部和公安部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,要求在试点城市的限定公共道路区域内开展搭载自动驾驶功能的智能网联汽车上路通行试点,试点车企应具备汽车功能安全、预期功能安全、网络安全、数据安全、软件升级、风险与突发事件等安全保障能力。具备智能网联汽车产品安全监测服务企业平台,可对试点车辆的安全状态进行监测,并建立报告机制。


本文来自微信公众号:NBD汽车 (ID:NBD-AUTO),作者:段思瑶、董天意