蔚来数据被窃遭勒索
近日,数张疑似“黑客”倒卖蔚来汽车内部数据的截图在汽车行业圈内疯传,“黑客”甚至还对部分高价值的车辆&用户数据明码标价,价格均以数字加密货币比特币为单位,比如39.9万条的车主身份证数据,售价0.25比特币,36万条的车主亲密关系数据,售价0.2比特币,全部数据打包则售1比特币。
(图片源自:网络)
而后就在12月20日,蔚来控股有限公司首席信息安全科学家、信息安全委员会负责人卢龙,在蔚来官方社区发布了一则《关于数据安全事件的声明》(以下简称“声明”),回应近期部分用户数据遭窃取并被勒索一事。
(图片源自:蔚来汽车官方)
根据官方声明显示,2022年12月11日,蔚来汽车便收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。另据声明所述,经蔚来汽车初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。而据威尔森智库决策支持系统销量统计,自蔚来汽车成立并开启正式交付至2021年7月底,其历史累计交付量约为12.26万辆,这也意味着此次遭窃并存在倒卖可能的信息数据或超12万份。
(图片源自:威尔森智库决策支持系统)
此外,在12月20日深夜,蔚来创始人兼董事长李斌,在蔚来官方社区就用户数据泄露一事发文致歉。李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
(图片源自:蔚来官方APP)
不过,据威尔森相关市场舆情监测显示,蔚来汽车此次内部数据被窃遭勒索在整个汽车行业中并非个案。今年10月,日系大厂丰田就曾自曝其近30万份用户信息数据疑遭泄露。10月7日,丰田汽车发表声明称, 使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露, 包括电子邮箱地址和客户编号等,但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响。
(图片源自:丰田汽车全球官网)
而据此前外媒报道,大众汽车也曾在去年6月表示,其约有330万名客户的数据遭泄露。原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,包含相关客户的姓名、地址、电话号码、甚至贷款信息等。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。
事实上,随着近些年新能源智能化浪潮的袭来,汽车早已不再是以往的机械式交通工具,相较于以往的传统燃油车,新能源智能网联汽车可以通过车内外摄像头、毫米波雷达、激光雷达、车内 DMS 驾驶员监测系统、车联网 APP 、智能座舱生态应用等渠道,收集到规模庞大、覆盖面广的车辆&用户数据。
(图片源自:网络)
如何确保新能源智能化汽车安全有序运行,数据又该如何安全合规应用,正逐渐成为社会各界与消费者们广泛关注的焦点。本月初,在工信部印发的《工业和信息化领域数据安全管理办法(试行)》通知中便提到,“工业和信息化领域数据处理者应当对数据处理活动负安全主体责任” “工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施”。而更早由工信部和公安部联合发布的《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,也提及“试点车企应具备汽车功能安全、预期功能安全、网络安全、数据安全、软件升级、风险与突发事件等安全保障能力”“具备智能网联汽车产品安全监测服务企业平台,可对试点车辆的安全状态进行监测,并建立报告机制”。
(图片源自:中华人民共和国工业和信息化部)
智见说
编者注:根据现有官方公开信息来看,此次被窃数据虽不涉及车辆行驶数据也未攻破车辆自身安全控制,更多的还是以企业内部及车主用户们的个人基础信息居多,但也难保不会出现“人在医院快点打钱”的诈骗情节。蔚来能从初代新势力的百团大战中脱颖而出,成为初代新势力三强之一,自然离不开其极致贴心的车主服务关怀,但在此次数据遭窃事件后,蔚来官方的态度无疑让部分车主产生不满,诚然大数据时代“人人都在裸奔”“大数据比我更懂我自己”,但笔者还是忍不住试问,假如有足够的证据证明因为此次蔚来而导致车主蒙受损失,蔚来是否应向车主主动赔偿?车主又能否向蔚来进行索赔呢?
(图片源自:网络)
结合威尔森相关行业专家的了解及国内多家媒体的相关报道,国内车企或是互联网公司在遭遇黑客攻击或是数据失窃后,多会选择“花钱保平安息事宁人”,确实很少出现蔚来此次“正面硬刚”的情况,但这毕竟仅是发生在国内,结合蔚来近期海外动作频频大有扩大海外市场之势,笔者又想试问,假若蔚来在海外发生了类似事件,又该如何面对车主用户的质疑甚至集体诉讼呢?我们不妨看看海外相关案例,今年7月,美国电信运营商T-Mobile就因为2021年8月的一次网络攻击所造成的数据泄露,而遭遇用户的集体诉讼,经过近1年的司法程序,最终T-Mobile以3.5亿美元(约合24.4亿元人民币)才与用户达成和解,而未来该公司还将投入1.5亿美元(约合10.4亿元人民币)用于加强数据安全方面的技术投入,综合来看这笔5亿美元(约合34.8亿元人民币)的学费,不可谓是不令人印象深刻。
(图片源自:网络)
“初代三强”“开拓海外”“饭圈车主”恐怕某种意义上并不能缓解蔚来现有的销量焦虑,此外还有诸如AITO问界、极氪、哪吒、阿维塔、集度等“新二代”的向上冲击,或许蔚来已经在车主服务端做到了极致,但除了提升产品力、增强智驾能力外,恐怕还需在数据网络安全上多下功夫,这也将成为当下市场上各家车企们的一门必修课,否则真等到了“黑客”袭来的那天,“学费”的代价恐怕还会更高。而对于更多的普通消费者而言,在选购智能网联汽车时,想要车辆作为一种更聪明的陪伴甚至更懂我们的需求,就必然要学会面对车企对于自己基础数据的广泛收集,而这也是隐私数据与智能化之间的一种取舍,如何保证二者间的平衡与安全,就需要消费者们对此有充分的认知预期,也需要车企对此保留一份敬畏之心守住安全的底线。
关于此次“蔚来汽车内部数据被窃遭勒索”以更多关于智能网联汽车信息技术安全的内容,我们还将持续关注研究。如果您同我们一道对此深切关注,并期望了解我们最新的研究成果,欢迎扫描下方二维码联系威尔森官方客服,了解更多智能网联汽车方面的研究详情。
本内容为威尔森独立观点,未经允许不得转载
智见洞察,发现智电车的未来