蔚来遭黑客千万元巨额勒索，智能汽车时代用户信息安全成迷

近日，网上嚗光的一张微信群聊图片显示，一伙声称盗取了用户个人信息的团队，要挟蔚来花巨额赎金赎回车主和用户的个人隐私资料。该团伙声称破解了蔚来大量数据，给了蔚来两次机会赎回这些个人隐私资料，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据来保护车主和用户，因此决定有偿嚗光，并附上了邮件联系的方式。

据该团伙介绍，这些被破解的数据包括蔚来总裁到一线员工在内的2.28万条内部员工数据，39.9万条车主用户身份证数据，65万条用户地址数据，485万条蔚来注册用户数据，1万条条企业及企业代表联系人数据，49万条订单及9万条退单数据，36万条车主亲密关系数据，17万条车主贷款数据。有些数据后面还附上了可能存在的潜在数据买方，包括从事新能源招聘和猎头工作的，从事黑灰产业的，蔚来的竞争对手等。如此明目张胆的公开售卖个人隐私数据，让人触目惊心！

12月20日，蔚来社区就此事发布声明称，蔚来公司于12月11日收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（约合1570.5万元人民币）等额比特币。在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

窃取、买卖此类数据是违法犯罪行为，公司对此予以严厉谴责，也坚决不会向网络犯罪行为低头。蔚来表示，对于此次事件对用户造成的影响深表歉意，并郑重承诺，对因本次事件给用户造成的损失承担责任。与此同时，将协同有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。蔚来有责任并有义务使用一切手段保护用户信息安全，事件发生后，我们对公司网络信息安全进行了排查与强化，以避免此类事件的再次发生。我们将汲取教训，加强技术力量，不断提升蔚来信息系统的安全防护能力，以充分保护用户信息安全。

尽管官方后来下场承认了此事，但大家还是认为这是一次非常严重的用户信息泄露事件，并不是一纸公告就能解决问题的。“最起码你应该告诉用户，泄漏的信息包含了哪些，让用户注意防范。”

对于蔚来公司内部数据被盗，有用户认为，“公布信息安全事件的公司是有诚信，并且注重信息安全的公司。说明进行对于信息安全具备完整的事件分析，溯源，处置，与加固机制。”也有用户认为，“保护客户信息是蔚来的责任，关键为啥网上敲诈勒索了你们才公布这消息……（感觉包不住了）事情发生在去年，有点诚信危机啊！”还有用户表示，“泄漏了哪些信息，如何挽救，如何补偿？”

需要注意的是，曾遭遇到类似困扰的车企并非只有蔚来。

2019年，因黑客入侵服务器，丰田部分销售子公司超过310万名客户信息被窃取，虽然事后丰田强调泄露的信息中并不包含用户的细节财务信息，但并没有完全披露被盗的数据类型。

去年6月，大众汽车方面也曾表示，有将近330万名客户或潜在买家的数据遭泄露，具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。大众汽车方面称，这是由于其供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。

今年5月，通用汽车曾发布声明称，注意到2022年4月11日至29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。尽管通用汽车方面在发现问题后立刻暂时禁用了该功能，但黑客仍旧通过在线移动应用程序获取了部分客户的个人信息，包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏、安吉星所订阅的套餐、个人头像、搜索历史等。

今年10月，丰田汽车在一份声明中表示，使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露，包括电子邮箱地址和客户编号等，但其它敏感信息如姓名、电话号码和信用卡信息等均未受到影响。丰田汽车调查发现，客户信息之所以被泄露，是因为开发T-connect网站的承包商将部分源代码上传到GitHub账号上，并意外将权限设置成“公开”，时间为2017年12月至2022年9月15日。可能受影响的主要是在2017年7月之后使用电子邮箱注册丰田汽车T-connect服务的客户。

不得不说，在智能汽车时代，用户对汽车的依赖程度比较高，大量的用户信息也会以各种各样的形式存储在汽车厂商的服务器上。据统计，一辆智能网联汽车每天会产生大约10TB的数据，甚至有很多直接是声音和视频。而这些数据对于汽车制造商、移动运营商、保险公司和其他服务提供者来说，具有巨大的价值。同理，此类信息一旦被不法分子窃取并贩卖，其危害也可想而知。这一事件对当下蓬勃发展的智能汽车、新能源汽车行业来说具有标杆性意义，网络安全、信息安全已经成为实实在在的经营风险。

12月21日早间，蔚来针对此事再度于港交所发布公告称，公司得知2021年8月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。蔚来已在中国就该事件发布公开声明，其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。此外，公司承诺对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意，并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件，并采取必要措施控制潜在损失。

针对用户数据泄露一事，蔚来汽车客服人员表示，不会做出主动赔偿，但“对因本次事件给用户造成的损失承担责任。”客服人员还表示，如近期遇到涉及蔚来的陌生来电，需小心谨慎，勿透露个人信息。