为什么蔚来的数据如此“脆弱”？

近日，蔚来声称用户数据被盗，公司被勒索225万美元1500万元，以比特币支付。

收到勒索邮件9天后，蔚来感觉对方在耍花招：网上流传一张截图，图片显示：

破解了大量蔚来数据，并以比特币的价格公开出售。 所列信息涉及蔚来的业务和客户隐私数据，包括员工、订单、用户、公司代表联系方式，以及车主身份证、用户地址，甚至车主亲密关系、贷款等极其隐私的数据信息。

这些严重涉及个人隐私的数据和信息，明确以比特币计价：22800条员工数据，以0.15个比特币计价； 车主ID数据39900条，售价0.25比特币； 65,000个用户地址数据，0.15个比特币； 所有数据包的价格为 1 比特币。

对方也底气十足，说这不是我的错，是蔚来没有掏钱，这就是付费曝光。 他认为，蔚来宁愿花千万请歌手，也不愿买断这部分数据，以保护车主和用户。

黑进了蔚来的资料，还不忘给蔚来加上道德绑架罪。

对此，蔚来汽车12月20日发布的声明表明了态度：

公司收到勒索邮件后，当天成立专项调查组进行调查并作出回应，并第一时间向相关监管部门报告了事件。

经初步调查，被盗数据为2021年8月之前的部分用户基本信息和车辆销售信息。

财报显示，蔚来2021年1-7月共交付49887辆，2018年交付11348辆，2019年交付20565辆，2020年交付43728辆，尚无准确数据表明“部分用户”占比这位官员说。 交易一旦达成，想起来就毛骨悚然。

尽管蔚来官方宣布已成立专项调查应对小组，并第一时间将事件上报相关监管部门，并配合相关部门深入调查。 12月20日晚，蔚来创始人兼董事长李斌也在蔚来官方社区就此事道歉，但并未打消用户顾虑。

对此，蔚来信息安全委员会负责人卢龙表示，此次数据泄露不影响车辆行驶或远程控制，不涉及车辆使用过程中产生的数据（如行驶轨迹和驾驶舱数据）。 进一步调查数据泄露的原因和程度。

相关技术分析人士表示，此次泄露的数据大部分是存储在后台、数据库或云端的个人数据。 黑客想要对车辆本身进行攻击和控制，需要一定的技术门槛偷电制作比特币判刑多少年，而且汽车本身具有车载安全。 网关也拦截。

数据分析师都知道，“车主亲密关系数据”，一旦落入骗子手中，他们就可以冒充你，给你的亲人发短信，进行诈骗。

22800条内部员工数据，包括总裁到一线员工，这些数据对于从事新能源招聘的猎头来说是无价的。

这是目前智能汽车行业最严重的数据泄露事件。 以往，APP对个人信息的过度收集，早已让大家在手机前“裸奔”。 现在，智能车主离“裸奔”不远了。

01

智能化时代，裸奔在所难免

新能源行业技术人士分析称，蔚来已被黑客盯上，估计会有后续行动； 更好的做法是一方面加强数据安全，另一方面花钱（理论上价格应该很低，Hackers通常有契约精神）。 如果遇到严重的黑客，你死定了，会给车企带来无穷无尽的后患。

根据总部位于美国的国际数据管理公司 Veritas Technologies 于 2020 年 6 月进行的一项调查，44% 的消费者表示他们将停止从受到勒索软件攻击的公司购买商品。

2017年，当斯巴鲁被曝出软件安全漏洞和黑客攻击时，一位名叫亚伦古兹曼（Aaron Guzman）的独立研究人员声称，他发现了数量惊人的软件漏洞，制作了一个简单的设备，可以收集无线电信号偷电制作比特币判刑多少年，计算下一个滚动代码，然后向目标车发回类似的无线电信号，斯巴鲁汽车的遥控钥匙系统就被破解了。 破解后，数字钥匙将无所不能，非授权用户——即非车主的路人——可以自由进行开锁/锁车门、按喇叭、获取车辆等操作位置记录。 进一步入侵后，甚至可以获得用户汽车账户的相关信息，而这款设备破解漏洞的成本不到30美元。

当然，随着技术的进步，很多漏洞都被填补了。 但总有人能找到新的漏洞。

据悉，特斯拉也有过被“黑”的经历。 360创始人周鸿祎表示，360已三次破解特斯拉云系统； 2020年，特斯拉Model X的自动驾驶系统多次遭到黑客攻击； 车内摄像头记录了车内大部分空间信息的监控录像，落入“隐私门”。

理论上，只要是联网的，任何公司都有可能被破解。 关键在于黑客是否有必要这样做、时间成本、技术问题等。

有业内人士认为，蔚来的车主大多是中产阶级或所谓的富人。 这些人的信息更有价值，也更“好卖”。

高德发布了一份报告，统计了不同品牌车主的出行轨迹，绘制了各品牌用户画像：奔驰用户住别墅的比例相对较高； BMW用户喜欢购物，经常去步行街或商场； 沃尔沃用户热爱文艺，常去剧院、名胜古迹等。

02

谁为安全薄弱负责

蔚来的数据是如何泄露的？ 黑客？ 鬼？

如果黑客窃取、勒索汽车公司，该律师表示，窃取或者以其他方式非法获取公民个人信息的，构成侵犯公民个人信息罪，处三年以下有期徒刑或者拘役。 特别严重的，处三至七年徒刑。 也会有罚款。 此外，数据获取者向蔚来索要赎金，也构成敲诈勒索罪。

此外，互联网行业历史上发生的多起数据泄露事件，都是内鬼所致，不排除蔚来内部员工泄密。 律师表示，如果违反国家有关规定，将在履行职责或者提供服务过程中获取的公民个人信息出售或者提供给他人，将以侵犯公民个人信息罪予以严惩。

内部泄密一定是因为公司内部的信息安全机制出了问题。

新能源汽车的数据一般会与供应商、合作伙伴、集团其他业务等第三方共享、转让、委托处理数据。 大量敏感数据在多个部门和组织之间频繁交换和共享，增加了数据泄露的风险。 如果企业没有完善的信息安全保护体系，无疑会增加数据泄露的风险。

非法窃取数据敲诈勒索的行为必须坚决打击，但掌握大量用户数据的车企更有责任防范风险，承担保护数据安全的责任。 这是公司的职责。 在这起事件中，内因是根本。 希望车企不要再无缘无故让车主“裸奔”了。

随着新能源汽车的快速发展，用户数据和隐私的安全性如何？ 谁能做到？

估计每个人都会坚持自己的意见。 一些关于数据权利归属的调查有明显的倾向。 大多数网友强烈支持数据国有化。 在他们看来，将身份和私人信息交给国家比交给资本家更放心。

然而，对于那些深耕汽车智能化的车企来说，数据的价值却难以用人民币来衡量。 数据是一切技术得以实现的根源。 被奉为未来趋势的人工智能技术，在数据的支持下不断进化； 未来智能汽车自动驾驶技术的核心是大量行车数据的“喂养”。

如果数据接手，长期积累的大量数据优势和相关技术突破可能会大打折扣。

按照法律规定，企业的用户数据还是属于人民的，车企只有算法，绝不允许用于其他用途。

早在2020年，《新能源汽车产业发展规划（2021-2035年）》的发布就明确提出，要完善保障体系，构建网络安全体系。

今年4月，工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合印发《关于进一步加强安全生产建设的指导意见》 《新能源汽车企业制度》（以下简称《意见》），明确提出要监测车辆网络安全状况，加强对车辆运行数据的分析挖掘。

在推动新能源汽车产业发展的同时，车辆数据监管也必须与时俱进，日趋严格。

新能源汽车企业享有车主个人信息、车辆信息及相关数据信息的红利和经济价值。 因此，规范数据信息安全保护责任的落实主体在新能源车企。

上述《意见》还特别明确，企业必须依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞治理等要求； 企业必须建立健全全过程数据安全管理制度，依照法律、行政法规的有关规定进行数据收集、存储、使用、处理、传输、提供、披露等处理活动，以及数据出境安全管理。

在个人信息安全保护方面，《意见》明确提出，企业应当制定内部管理和操作规程，对个人信息实施分类管理，采取相应的加密、去标识化等安全技术措施，防止未经授权的访问和泄露。 、篡改或丢失个人信息。

事实上，新能源汽车用户数据被盗引发热议，在业内并不是第一次发生。 过去的每一件事，都引发了关于新能源汽车信息安全保护责任话题的热议。 网络安全、数据安全等新问题频出，不得不引起高度重视。 这是对整个新能源汽车行业的行业警示。