//蔚來(lái)汽車數(shù)據(jù)被竊遭“天價(jià)”勒索 中汽協(xié)：不應(yīng)向犯罪行為妥協(xié)//

12月20日，蔚來(lái)首席信息安全科學(xué)家、信息安全委員會(huì)負(fù)責(zé)人盧龍?jiān)谖祦?lái)官方社區(qū)發(fā)布公告，2022年12月11日，蔚來(lái)公司收到外部郵件，聲稱擁有蔚來(lái)內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬(wàn)美元（當(dāng)前約1570.5萬(wàn)元人民幣）等額比特幣。

“在收到勒索郵件后，公司當(dāng)天即成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對(duì)，并第一時(shí)間向有關(guān)監(jiān)管部門報(bào)告此事件?！?/span>蔚來(lái)汽車在聲明中表示，經(jīng)初步調(diào)查被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

對(duì)于是否是因翻越蔚來(lái)防火墻導(dǎo)致數(shù)據(jù)失竊，有蔚來(lái)汽車高層對(duì)財(cái)聯(lián)社記者回應(yīng)稱，“目前數(shù)據(jù)被竊取的情況還在調(diào)查中?！?

針對(duì)可能造成的用戶損失，蔚來(lái)汽車客服人員表示，不會(huì)做出主動(dòng)賠償，但“對(duì)客戶的反饋會(huì)記錄再案，且會(huì)對(duì)因本次事件給用戶造成的損失承擔(dān)責(zé)任”。蔚來(lái)客服同時(shí)表示，目前尚未出臺(tái)賠償方案，并提醒，如近期遇涉及蔚來(lái)的陌生來(lái)電，需小心謹(jǐn)慎，勿透露個(gè)人信息。

一張流傳于網(wǎng)絡(luò)的圖片顯示，有人宣稱破解了蔚來(lái)大量數(shù)據(jù)，并公開叫價(jià)出售。其列出的數(shù)據(jù)涉及蔚來(lái)的經(jīng)營(yíng)以及客戶隱私，包括蔚來(lái)員工數(shù)據(jù)、訂單數(shù)據(jù)、用戶及企業(yè)代表聯(lián)系人數(shù)據(jù)，還包括車主身份證、用戶地址，甚至車主親密關(guān)系、車主貸款數(shù)據(jù)等極為隱私的信息。

這些信息被明碼標(biāo)價(jià)，價(jià)格均以比特幣為單位，比如2.28萬(wàn)條員工數(shù)據(jù)，售價(jià)0.15比特幣；3.99萬(wàn)條車主身份證數(shù)據(jù)，售價(jià)0.25比特幣；全部數(shù)據(jù)打包，售價(jià)1比特幣。

針對(duì)數(shù)據(jù)泄露遭勒索的情況，蔚來(lái)汽車態(tài)度堅(jiān)決。“竊取、買賣此類數(shù)據(jù)是違法犯罪行為，公司對(duì)此予以嚴(yán)厲譴責(zé)，也堅(jiān)決不會(huì)向網(wǎng)絡(luò)犯罪行為低頭?！蔽祦?lái)在聲明中表示，將協(xié)同有關(guān)執(zhí)法部門深入調(diào)查此次事件，并依法堅(jiān)決打擊相關(guān)的數(shù)據(jù)竊取、買賣行為。

“中汽協(xié)支持蔚來(lái)汽車的聲明，不應(yīng)向犯罪行為妥協(xié)。”中國(guó)汽車工業(yè)協(xié)會(huì)秘書長(zhǎng)助理兼技術(shù)部部長(zhǎng)王耀對(duì)記者表示。

王耀同時(shí)分析認(rèn)為，以其個(gè)人初步判斷，這次不是因技術(shù)問(wèn)題導(dǎo)致的數(shù)據(jù)泄露?！澳壳翱矗瑢?duì)于蔚來(lái)汽車用戶來(lái)說(shuō)，不會(huì)出現(xiàn)系統(tǒng)性大規(guī)模數(shù)據(jù)泄露，也不會(huì)引發(fā)車輛端安全問(wèn)題?！蓖跻Q。

智能化是汽車產(chǎn)業(yè)發(fā)展的重要趨勢(shì)，而數(shù)據(jù)則是實(shí)現(xiàn)智能化的基石。隨著汽車智能化程度越來(lái)越高，守好數(shù)據(jù)確保安全，關(guān)乎到用戶的權(quán)益，更關(guān)乎行業(yè)發(fā)展進(jìn)程。而汽車企業(yè)作為數(shù)據(jù)運(yùn)營(yíng)的主體，是數(shù)據(jù)安全的主體責(zé)任。

就在12月13日，工信部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》的通知。其中指出，“工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任?！蓖瑫r(shí)，“工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后，應(yīng)當(dāng)按照應(yīng)急預(yù)案，及時(shí)開展應(yīng)急處置，涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，第一時(shí)間向本地區(qū)行業(yè)監(jiān)管部門報(bào)告，事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報(bào)告，每年向本地區(qū)行業(yè)監(jiān)管部門報(bào)告數(shù)據(jù)安全事件處置情況。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對(duì)發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當(dāng)及時(shí)告知用戶，并提供減輕危害措施?！?

僅從目前被披露的信息，此次蔚來(lái)被竊數(shù)據(jù)尚未涉及車輛安全等，只不過(guò)因其作為智能電動(dòng)品牌的代表而被業(yè)內(nèi)廣泛關(guān)注。但即便如此，切實(shí)保障數(shù)據(jù)安全已成為全社會(huì)的共識(shí)。

蔚來(lái)汽車在聲明中稱，蔚來(lái)有責(zé)任并有義務(wù)使用一切手段保護(hù)用戶信息安全，事件發(fā)生后，對(duì)公司網(wǎng)絡(luò)信息安全進(jìn)行了排查與強(qiáng)化，以避免此類事件的再次發(fā)生。

//李斌致歉蔚來(lái)汽車數(shù)據(jù)大規(guī)模泄露 原因遭用戶質(zhì)疑//

今日（20日）下午，蔚來(lái)首席信息安全科學(xué)家、信息安全委員會(huì)負(fù)責(zé)人盧龍?jiān)谖祦?lái)官方社區(qū)發(fā)布公告，2022年12月11日，蔚來(lái)公司收到外部郵件，聲稱擁有蔚來(lái)內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬(wàn)美元（當(dāng)前約1570.5萬(wàn)元人民幣）等額比特幣。

盧龍還透露，在收到勒索郵件后，公司當(dāng)天即成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對(duì)，并第一時(shí)間向有關(guān)監(jiān)管部門報(bào)告此事件。經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

盧龍稱，事件發(fā)生后，對(duì)公司網(wǎng)絡(luò)信息安全進(jìn)行了排查與強(qiáng)化。

今日晚間，蔚來(lái)創(chuàng)始人、CEO李斌也在聲明評(píng)論區(qū)表示：“非常抱歉發(fā)生這樣的事。保護(hù)好用戶信息安全是我們的責(zé)任，我們沒(méi)有做好，向大家深表歉意，會(huì)對(duì)此次事件給用戶帶來(lái)的損失承擔(dān)責(zé)任。我們會(huì)協(xié)同有關(guān)部門深入調(diào)查此次事件，對(duì)竊取和買賣此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底。我們不會(huì)與不法行為妥協(xié)，也請(qǐng)大家及時(shí)提供線索。”

泄露數(shù)據(jù)或含身份證、住址、購(gòu)車額度和指標(biāo)等

《科創(chuàng)板日?qǐng)?bào)》記者今日致電蔚來(lái)客服，對(duì)方表示，目前暫時(shí)也并不清楚數(shù)據(jù)泄露原因，公司正在調(diào)查，有進(jìn)一步信息將會(huì)在蔚來(lái)官方社區(qū)公告。

根據(jù)蔚來(lái)所述，泄露數(shù)據(jù)包含“用戶基本信息”，《科創(chuàng)板日?qǐng)?bào)》記者在蔚來(lái)App看到，在用戶“個(gè)人信息”和“賬號(hào)綁定”這兩欄，目前包含用車城市、地址、手機(jī)號(hào)等信息。如果是辦理了購(gòu)車手續(xù)的蔚來(lái)車主，在“我的證件”這一欄，用戶如有添加，則可能會(huì)包含身份證、護(hù)照、薪資、社保、公積金、房產(chǎn)證、行駛證、駕駛證、購(gòu)車額度證明、購(gòu)車指標(biāo)等更為隱私的個(gè)人信息。

與此同時(shí)，今日下午，一張關(guān)于蔚來(lái)數(shù)據(jù)的圖片在網(wǎng)絡(luò)流傳，圖片內(nèi)容稱泄露數(shù)據(jù)包含了蔚來(lái)內(nèi)部員工數(shù)據(jù)228000條，包含總裁到一線員工；車主用戶身份證數(shù)據(jù)3990000條，用戶地址數(shù)據(jù)650000等信息，勒索要價(jià)從0.1-0.25比特幣不等。

截至發(fā)稿，在蔚來(lái)官方社區(qū)的這條聲明評(píng)論區(qū)下方，已有332條用戶評(píng)論，這個(gè)數(shù)字還正在增加，多數(shù)用戶關(guān)注點(diǎn)在于：數(shù)據(jù)是如何被竊取的？哪些數(shù)據(jù)被泄露？泄露到了何種程度？是否已經(jīng)止損？會(huì)造成什么影響？如何賠償？如何防止類似事件再發(fā)生等。

數(shù)據(jù)安全將成車企核心競(jìng)爭(zhēng)力之一

關(guān)于智能汽車涉及個(gè)人數(shù)據(jù)安全相關(guān)的各種問(wèn)題，過(guò)去已經(jīng)引發(fā)過(guò)不少討論，但是在“新能源車企里，蔚來(lái)是第一個(gè)較大規(guī)模的數(shù)據(jù)泄露”，一位不愿具名的長(zhǎng)期專注于網(wǎng)絡(luò)安全行業(yè)的投資人告訴《科創(chuàng)板日?qǐng)?bào)》記者，“這次數(shù)據(jù)泄露，大概率不是通過(guò)車本身泄露，是通過(guò)后臺(tái)數(shù)據(jù)庫(kù)泄露的”。

在影響方面，一名新能源汽車技術(shù)人員告訴《科創(chuàng)板日?qǐng)?bào)》記者，這次的數(shù)據(jù)泄露，可能不會(huì)對(duì)車輛本身造成影響。

該技術(shù)人員表示，這次是在個(gè)人信息層面的數(shù)據(jù)泄露，而對(duì)于車輛本身的標(biāo)準(zhǔn)數(shù)據(jù)，涉及到駕駛安全，“這種級(jí)別的數(shù)據(jù)控制權(quán)限要求非常高，車企基本不允許無(wú)限去控制”。

“黑客要去攻擊車輛本身的話，還是有技術(shù)門檻，汽車本身有車載安全網(wǎng)關(guān)，也會(huì)進(jìn)行攔截?！?/span>上述投資人稱，“但就類似于電商平臺(tái)的用戶數(shù)據(jù)，這次泄露的數(shù)據(jù)，大部分是存儲(chǔ)在后端、數(shù)據(jù)庫(kù)或者云端的個(gè)人數(shù)據(jù)，對(duì)于企業(yè)而言一方面是聲譽(yù)的損失，另外也可能會(huì)受到行政方面的處罰。保障智能汽車的數(shù)據(jù)安全，將成為未來(lái)車企的核心競(jìng)爭(zhēng)力之一。”

在蔚來(lái)的聲明評(píng)論區(qū)，已有不少用戶表示，希望“車企配合用戶及時(shí)修改信息，以防車主相關(guān)資料被利用，并影響到家人朋友”，“軟件里的個(gè)人信息，能刪的趕緊刪掉”。

目前，市面上的智能汽車均搭載了大量的傳感器、攝像頭和超聲波雷達(dá)等，車主的生物識(shí)別信息、通訊錄、車內(nèi)駕駛行為等數(shù)據(jù)涉及隱私采集，車外環(huán)境數(shù)據(jù)可能涉及敏感地域、關(guān)鍵人員與裝備等。

目前，在政策層面，國(guó)家對(duì)智能汽車的安全問(wèn)題已經(jīng)有相應(yīng)的立法規(guī)劃。相關(guān)部門陸續(xù)出臺(tái)了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》、《信息安全技術(shù)網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求》等法規(guī)，旨在加強(qiáng)在車輛數(shù)據(jù)安全、網(wǎng)絡(luò)安全、功能安全和預(yù)期功能等方面的管理。

創(chuàng)道硬科技創(chuàng)始人步日欣對(duì)《科創(chuàng)板日?qǐng)?bào)》記者表示，汽車是未來(lái)新興的智能終端，所產(chǎn)生的數(shù)據(jù)不僅涉及車主乘客的隱私，還會(huì)涉及國(guó)家安全，一旦受網(wǎng)絡(luò)攻擊而泄露，被各種利益方不當(dāng)使用，會(huì)給個(gè)人利益、國(guó)家利益，造成更嚴(yán)重的后果。

步日欣還稱，對(duì)于采集的數(shù)據(jù)，車企不應(yīng)該只考慮這些數(shù)據(jù)對(duì)車企的價(jià)值，更需要考慮如何安全、脫敏地使用，如何保證數(shù)據(jù)使用在安全可控的范圍內(nèi)，如何利用新興的網(wǎng)絡(luò)安全技術(shù)保證數(shù)據(jù)安全性。