數(shù)據(jù)泄漏，被勒索225萬美元，蔚來的剛與車主的憂

第一電動大牛作者電動汽車用戶聯(lián)盟 2022-12-22 17:25

2022年12月20日，被勒索的第9天，蔚來終于發(fā)布了聲明。而這也證實(shí)了當(dāng)日有人在網(wǎng)絡(luò)上大肆買賣蔚來內(nèi)部數(shù)據(jù)的事件以及蔚來遭受數(shù)據(jù)泄漏的事實(shí)。

對225萬美元等額比特幣的勒索，蔚來的態(tài)度很明確，堅決不會向網(wǎng)絡(luò)犯罪行為低頭。同時，也誠懇道歉并承諾會對本次事件給用戶造成的損失承擔(dān)責(zé)任。

在這一事件中，蔚來數(shù)據(jù)泄漏被黑客勒索值得被人同情，但于此同時，這些被盜竊的信息會落入誰的手中，又會被拿來作何用途，才是懸在蔚來和用戶頭上的達(dá)摩克利斯之劍。

在調(diào)查結(jié)果水落石出之前，誰都無法松下這口氣。

被勒索9天后，蔚來發(fā)出聲明

2022年12月20日，一個名為“蔚來用戶”的賬號在蔚來APP社區(qū)中發(fā)布了一則《揭露蔚來虛偽，對其進(jìn)行懲罰，保護(hù)用戶》的帖子，聲稱：“我們破解了蔚來的大量數(shù)據(jù)，但由于蔚來不愿買斷數(shù)據(jù)，所以決定有償曝光?！?/span>

帖子中還貼出了相關(guān)數(shù)據(jù)頁面的截圖，并描述了這些數(shù)據(jù)的具體數(shù)量、指向?qū)ο?、售賣對象以及售價。其中包含了蔚來內(nèi)部員工數(shù)據(jù)2.28萬條、車主用戶身份證數(shù)據(jù)39.9萬條、車主貸款數(shù)據(jù)17萬條、車主數(shù)據(jù)12.5萬條、用戶地址數(shù)據(jù)65萬條、車主親密數(shù)據(jù)36萬條、蔚來注冊用戶數(shù)據(jù)485萬條、訂單數(shù)據(jù)49萬條和退單數(shù)據(jù)9萬條，以及企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù)1萬條。而所有這些數(shù)據(jù)打包價為1比特幣。

除了在蔚來APP中發(fā)帖以外，根據(jù)網(wǎng)絡(luò)流傳的截圖，這名“蔚來用戶”還在微信群中發(fā)送了相同的內(nèi)容。

下午16時左右，蔚來首席信息安全科學(xué)家，信息安全委員會負(fù)責(zé)人盧龍在蔚來APP社區(qū)中發(fā)布了一則《關(guān)于數(shù)據(jù)安全事件的聲明》，對這一事件做出了回應(yīng)。

從回應(yīng)中可以了解到，12月11日蔚來就已經(jīng)收到了外部郵件，對方聲稱擁有蔚來內(nèi)部數(shù)據(jù)，并向蔚來勒索225萬美元等額比特幣（折合人民幣1568萬元），按照安全事件響應(yīng)機(jī)制，蔚來在當(dāng)天成立了專項(xiàng)應(yīng)急小組。

根據(jù)蔚來的初步調(diào)查，被竊取的數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售數(shù)據(jù)。盧龍也在帖子下進(jìn)一步補(bǔ)充：“本次事件不涉及車輛使用中產(chǎn)生的數(shù)據(jù)（如行車軌跡、座艙數(shù)據(jù)），也不影響車輛的乘駕或遠(yuǎn)程控制?！?/span>

李斌本人也對這次事件進(jìn)行了道歉，表示會承擔(dān)起相關(guān)的責(zé)任，也會追查到底，不會與不法行為妥協(xié)。

蔚來用戶：怎么負(fù)責(zé)？

在回應(yīng)中，蔚來和李斌均表示會對此次事件給用戶造成的損失承擔(dān)責(zé)任，這種愿意負(fù)責(zé)任的態(tài)度在大多數(shù)人看來是值得肯定的，但是不少蔚來用戶卻并不買賬。

首先是針對蔚來發(fā)聲明的舉措。

有用戶認(rèn)為個人隱私泄露是大事，蔚來沒有對用戶做充分的信息披露，也沒有相應(yīng)的事件后續(xù)說明。

同時，有人從數(shù)據(jù)情報工作者的身份指出了事件的嚴(yán)重程度，并對聲明中沒有對所泄露信息范圍和信息內(nèi)容進(jìn)行說明的做法提出了質(zhì)疑。

其次是針對信息泄露之后，蔚來要如何承擔(dān)責(zé)任。

有用戶非常犀利地指出了信息被泄露之后的舉證問題，認(rèn)為即便給用戶造成了損失，也無法對證。

最后，事件既然已經(jīng)發(fā)生了，當(dāng)務(wù)之急是蔚來會做出什么樣的補(bǔ)救措施。這位車主希望蔚來可以給出一些實(shí)用的方法，讓用戶擺脫被動局面。

我們從《蔚來汽車隱私政策》上了解到，對于安全事件的響應(yīng)，蔚來需要按照法律法規(guī)的要求，及時向用戶告知“安全事件的基本情況和可能的影響、他們已經(jīng)采取的或?qū)⒁扇〉拇胧⒁约坝脩艨梢宰灾鞣婪逗徒档惋L(fēng)險的建議、對用戶的補(bǔ)救措施等”。但目前來看，這一塊的舉措仍是缺失的。

而且，從隱私政策上我們也發(fā)現(xiàn)，針對蔚來汽車產(chǎn)品/服務(wù)收集信息的場景非常多，一共包含了以下16個場景：賬戶注冊與登錄、購車咨詢與車輛試駕、車輛訂購、電池租用服務(wù)、融資租賃服務(wù)、保險服務(wù)、電子協(xié)議簽署、車輛使用與遠(yuǎn)程車輛管理、車主服務(wù)于售后服務(wù)、商城購物及支付、社區(qū)與即時通訊、活動報名、客戶服務(wù)、運(yùn)營安全與保障、信息推送、業(yè)務(wù)經(jīng)營以及分析改進(jìn)。

收集的信息包括：個人信息、車輛信息、設(shè)備信息、日志信息、活動信息等多個方面的用戶信息。那么此次安全事件所泄露的用戶信息究竟包含了哪些具體的內(nèi)容，是如黑客所稱的，包含了車主用戶身份證、貸款數(shù)據(jù)、用戶地址數(shù)據(jù)、車主親密等等，還是只是蔚來初步調(diào)查所得知的車主基本信息和車輛訂單數(shù)據(jù)？這些都需要蔚來盡快給出答復(fù)。

蔚來的信息安全過往

隨著汽車智能化程度的不斷加深，近幾年，汽車行業(yè)遭遇黑客攻擊和勒索的事件也開始層出不窮。今年以來，包括現(xiàn)代、起亞、沃爾沃、通用、寶馬、英偉達(dá)等汽車和供應(yīng)商企業(yè)，都被曝出遭遇黑客攻擊的事件。

蔚來執(zhí)行副總裁兼產(chǎn)品委員會主席周欣曾表示:“蔚來在成立之初，就已意識到，相比于傳統(tǒng)汽車，智能網(wǎng)聯(lián)汽車面臨著更多的信息安全挑戰(zhàn)：用戶觸點(diǎn)和功能多，數(shù)據(jù)類型和規(guī)模大，網(wǎng)絡(luò)連接多樣化，智能駕駛系統(tǒng)復(fù)雜度高?！?/span>

因此，前期蔚來在信息安全方面可以說是下了大工夫。并且，在去年的12月22日，蔚來就獲得了UN R155（聯(lián)合國歐洲經(jīng)濟(jì)委員會第155號法規(guī)）車輛網(wǎng)絡(luò)安全管理體系認(rèn)證，成為全球首批、中國首個獲得此項(xiàng)認(rèn)證的公司。

“得益于該體系的建設(shè)，蔚來具備了更高安全級別的道路車輛以及相關(guān)產(chǎn)品的研發(fā)能力和管理體系，保障產(chǎn)品抵御網(wǎng)絡(luò)安全威脅，在用戶或者相關(guān)產(chǎn)品在受到或者可能面臨網(wǎng)絡(luò)安全威脅的時候能夠以最快的速度以及有效的方式進(jìn)行響應(yīng)，幫助用戶消減風(fēng)險。切實(shí)保護(hù)用戶的資產(chǎn)以及人身安全”，蔚來執(zhí)行副總裁兼質(zhì)量委員會主席沈峰博士也曾提及該體系的有效性。

不料，獲得認(rèn)證一年之后，卻發(fā)生了這樣一次數(shù)據(jù)安全事件。雖然蔚來稱并未涉及到車輛使用中產(chǎn)生的數(shù)據(jù)，也不會影響車輛的乘駕或遠(yuǎn)程控制，但是也給蔚來的信息安全工作敲了警鐘。

黑客的攻擊行為固然是造成信息泄露的直接原因，但絕不能只歸罪于外因，內(nèi)因才是根本。

除了這次數(shù)據(jù)泄漏，有車主對車輛購買、保險續(xù)保時，蔚來在用戶信息收集和使用上的一些做法和安全等級也略有不滿。