雷达财经出品 文|孟帅 编|深海
12月20日,蔚来用户数据遭窃取被勒索的消息,在网络上炸开了锅。
据了解,蔚来此次被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息,对方向蔚来提出的勒索目标为225万美元等额的比特币。蔚来目前已成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
事实上,类似这样的车企数据泄露事件并非孤例,此前通用汽车、菲亚特克莱斯勒、福特、大众、丰田、沃尔沃等汽车厂商都曾卷入数据泄露风波。
在江西新能源科技职业学院新能源汽车技术研究院院长张翔看来,车企无法完全避免类似的数据泄露事件的发生,只能尽可能地提高安全等级,增加黑客的攻击成本。
值得注意的是,数据泄露风波之外,蔚来第三季度的净亏损进一步扩大,与此同时,其毛利率指标也有所恶化,而此前定下的2022年交付15万辆汽车的KPI已大概率无法完成。为了尽可能地接近交付目标,蔚来推出补贴活动以刺激销量。
01
蔚来用户数据遭窃取被勒索225万美元
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布一则公告称,12月20日,有不法人士在网上出售蔚来相关数据。
另据网传的一张图片显示,有人自称于近日破解了蔚来的大量数据,并给了蔚来两次机会,但“蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此我们决定有偿曝光”。
据该人士列出的内容显示,其拥有的数据不乏蔚来员工数据、订单数据、用户及企业代表联系人数据,此外还包括车主身份证、用户地址、车主亲密关系、车主贷款数据等极为隐私的信息。
该人士还对这些数据进行了明码标价,如22800条员工数据,上至总裁、下至一线员工,售价为0.15比特币;与车主用户身份证相关的数据399000条,售价为0.25比特币。
据悉,早在12月11日,蔚来公司便收到外部邮件,对方声称拥有蔚来的内部数据,并以泄露数据对蔚来进行价值225万美元等额比特币的勒索。
在收到勒索邮件后,蔚来公司当天便立即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
事件发生后,蔚来对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。蔚来承诺,对因本次事件给用户造成的损失承担责任,并对此次事件表示歉意。蔚来表示,窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不向网络违法犯罪行为低头。
次日,蔚来又在港交所发布公告称,蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。
据蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区透露,本次事件并不涉及车辆使用中产生的数据,如行车轨迹、座舱数据等,也不会影响到车辆的驾乘或远程控制。目前还在进一步调查数据泄露的原因和影响范围。
对于发生用户数据泄露遭勒索一事,蔚来创始人、CEO李斌在蔚来官方社区表示,保护好用户信息安全是蔚来的责任,没有做好向大家深表歉意,蔚来会对此次事件给用户带来的损失承担责任。同时,蔚来会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。
雷达财经注意到,在蔚来社区里,有多位网友反馈称最近接到的骚扰电话较多。甚至有网友称,自己已于12月21日收到诈骗电话,对方称可以为蔚来车主提供30万至100万元的专属贷款。
对此,蔚来客服表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。
有网友在相关公告下方的评论区表示,理性看待,互联网时代不可避免,希望蔚来加强网络安全,避免类似事件的发生;也有网友表示,坚决不向黑恶势力低头,打击和严惩买卖个人数据的灰色产业。
一名自称兼管公司信息安全的网友认为,信息安全和工作效率天生相悖,要安全就需要多加几层防御,如果每次正常工作都需要通过防御网,那么将会影响到工作效率,但反之则有可能被像苍蝇一样令人作呕的勒索病毒攻击。
该网友还指出,信息安全管理应按照ISO27001要求,首先识别信息的安全等级,像此次泄露的涉及用户基本信息的数据应标识为最高等级,按等保三级要求,就连数据库存储都应加密。同时,蔚来此次发生的信息安全事件,不能只归罪于外,内因是根本,必须有相应的内部问责机制。