勒索金額超千萬元!蔚來部分數據被黑客竊取 李斌出面:我們不會妥協(xié)
每日經濟新聞
2022-12-21 11:01:55
每經記者 段思瑤 董天意 每經編輯 裴健如
12月20日,蔚來首席信息安全科學家�����、信息安全委員會負責人盧龍在蔚來官方社區(qū)發(fā)布公告稱,12月11日�����,公司收到外部郵件��,聲稱擁有蔚來內部數據�����,并以泄露數據勒索225萬美元(約合人民幣1567萬元)等額比特幣����。在收到勒索郵件后,公司當天即成立專項小組進行調查與應對��,并第一時間向有關監(jiān)管部門報告此事件�����。經初步調查�,被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。
針對此事,《每日經濟新聞》記者第一時間向蔚來汽車方面詢問該事件的最新進展����,相關人員僅回應稱以上述公告內容為準。
12月20日晚���,就數據泄露一事����,蔚來創(chuàng)始人��、董事長����、首席執(zhí)行官李斌在蔚來官方社區(qū)致歉。李斌表示��,“保護好用戶信息安全是我們的責任�,我們沒有做好,向大家深表歉意���,會對此次事件給用戶帶來的損失承擔責任����。我們會協(xié)同有關部門深入調查此次事件�����,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底�。我們不會與不法行為妥協(xié),也請大家及時提供線索��。”
12月21日早間�����,蔚來(09866.HK)針對此事再度于港交所發(fā)布公告稱��,公司得知2021年8月之前部分中國用戶信息及車輛銷售數據在網上被第三方違法出售���。蔚來已在中國就該事件發(fā)布公開聲明���,其中提供了解答用戶就數據泄露事件疑問的專門熱線及郵箱地址。此外��,公司承諾其對因數據泄露事件給用戶造成的損失承擔責任���。蔚來對此次事件深表歉意��,并采取一切可能方式支持其用戶����。蔚來持續(xù)與相關政府部門合作調查此事件,并采取必要措施控制潛在損失�。
圖片來源:披露易截圖
一張疑似網傳截圖顯示,有人宣稱破解了蔚來大量數據�,并明碼標價出售:“近日,我們破解了蔚來大量數據�,同時給了蔚來兩次機會,但是蔚來寧愿花費千萬請歌手�,也不愿意買斷這部分數據來保護各位車主和用戶,因此決定有償曝光�����。”
圖片來源:網傳截圖
其列出的數據涉及蔚來的經營以及客戶隱私�,包括蔚來員工數據、訂單數據�、用戶及企業(yè)代表聯系人數據,還包括車主身份證����、用戶地址,甚至車主親密關系����、車主貸款數據等極為隱私的信息�,這些信息被明碼標價進行出售����。例如:1.蔚來內部員工數據22800條�����,包含總裁到一線員工��,從事新能源招聘和獵頭工作的可以關注�����,售價0.15比特幣�;2.車主用戶身份證數據399000條,從事黑灰產的可以關注���,售價0.25比特幣��;……8.車主親密關系數據360000條�����,挖掘社會關系的可以關注�,售價0.2比特幣;9.車主貸款數據170000條���,售價0.1比特幣�。
“也是針對這一言論��,我們發(fā)布了上述公告�。”上述蔚來汽車相關人員稱。根據上述公告內容����,蔚來方面表示,“對因本次事件給用戶造成的損失承擔責任����。竊取、買賣此類數據是違法犯罪行為���,公司對此予以嚴厲譴責���,也堅決不會向網絡犯罪行為低頭。我們將協(xié)同有關執(zhí)法部門深入調查此次事件�,并依法堅決打擊相關的數據竊取��、買賣行為�。”
從目前來看�,蔚來用戶對此次數據泄露反應強烈。一位蔚來汽車用戶在某平臺上留言稱��,“這是怎么被竊取的��,得查清楚�,信息安全方面有漏洞��,肯定是嚴重的問題����。蔚來能夠認真對待這個事情,應該是已經有了對策�,希望把這個事情處理好。”也有網友表示:“蔚來這什么操作�,不是應該以用戶安全為第一位嗎?”“點贊蔚來 不低頭�,不妥協(xié)。”
圖片來源:新浪微博
圖片來源:新浪微博
需要注意的是���,曾遭遇到類似困擾的車企并非只有蔚來�����。2019年����,因黑客入侵服務器,豐田部分銷售子公司超過310萬名客戶信息被竊取�,雖然事后豐田強調泄露的信息中并不包含用戶的細節(jié)財務信息,但也并未完全披露被盜的數據類型�。
今年10月,據路透社報道�,豐田汽車在一份聲明中表示,使用其T-connect服務的約29.6萬名客戶的個人信息可能已被泄露��,包括電子郵箱地址和客戶編號等��,但其他敏感信息如姓名��、電話號碼和信用卡信息等均未受到影響�。
上述報道稱,豐田汽車調查發(fā)現�,客戶信息之所以被泄露,是因為開發(fā)T-connect網站的承包商將部分源代碼上傳到GitHub賬號上�����,并意外將權限設置成“公開”,時間為2017年12月至2022年9月15日��。據悉�����,可能受影響的主要是在2017年7月之后使用電子郵箱注冊豐田汽車T-connect服務的客戶�。
對此,豐田中國相關負責人在接受《每日經濟新聞》記者采訪時表示�����,“這個情況是在日本發(fā)生的�����,跟中國沒有關系�,主要是使用T-connect服務的客戶的郵箱地址和內部管理的號碼有被竊取的可能����,別的信息都不受影響。”
今年5月���,通用汽車曾發(fā)布聲明稱�,其注意到2022年4月11日至29日期間,部分在線客戶賬戶出現了可疑登錄�����,導致在未經用戶授權的情況下���,客戶的獎勵積分被兌換成了禮品卡��。盡管通用汽車方面在發(fā)現問題后立刻暫時禁用了該功能�,但黑客仍舊通過在線移動應用程序獲取了部分客戶的個人信息���,包括姓名�、郵箱地址��、郵寄地址��、綁定賬戶的姓名���、電話���、興趣點收藏、安吉星所訂閱的套餐、個人頭像�、搜索歷史等。
“客戶的個人信息安全對我們至關重要�。我們正在迅速采取行動,繼續(xù)保護我們的客戶及其個人信息�����。”通用汽車發(fā)言人在一份聲明中表示����。
去年6月,大眾汽車方面也曾表示����,有將近330萬名客戶或潛在買家的數據遭泄露,具體信息包括姓名���、地址、手機號碼�����、郵件以及部分駕照號碼���、車牌號碼����、貸款號碼等。大眾汽車方面稱�,這是由于其供應商在2019年8月至2021年5月期間將客戶數據“未經保護”地留在互聯網上。
事實上��,近年來隨著智能網聯技術取得快速發(fā)展���,關于新能源汽車安全的話題越來越受到關注���。有數據顯示,過去5年間�,黑客對智能汽車攻擊的次數增長了20倍,其中近30%的攻擊涉及車輛控制��。另據IBM安全情報部門發(fā)布的報告顯示��,2021年制造業(yè)已超過金融和保險業(yè)�,成為最多遭到網絡犯罪團伙攻擊的行業(yè)。此外���,由于智能穿戴設備���、車聯網�����、醫(yī)療設備等行業(yè)與用戶個人關聯緊密�,此類廠商遭到攻擊后往往也伴隨著大規(guī)模個人信息泄露的風險�。
圖片來源:視覺中國
而目前,大部分的車型在信息安全防護水平方面偏低�,車內相關聯網部件及控制部件防護可靠性不高,且缺失一定的安全策略�,這會導致車內敏感信息泄露或被篡改,以及車輛行駛中的異常行為�����,還有可能危及人的生命安全���。
如何確保汽車安全有序運行�,數據合規(guī)使用正成為社會關注的焦點�����。日前�,工信部和公安部發(fā)布《關于開展智能網聯汽車準入和上路通行試點工作的通知(征求意見稿)》,要求在試點城市的限定公共道路區(qū)域內開展搭載自動駕駛功能的智能網聯汽車上路通行試點���,試點車企應具備汽車功能安全��、預期功能安全���、網絡安全、數據安全�、軟件升級、風險與突發(fā)事件等安全保障能力�����。具備智能網聯汽車產品安全監(jiān)測服務企業(yè)平臺����,可對試點車輛的安全狀態(tài)進行監(jiān)測,并建立報告機制��。
封面圖來源:每經記者 李星 攝(資料圖)
