12 月 20 日,蔚來汽車的信息安全負責人發了一個公告,說公司被人勒索了,對方聲稱搞到了蔚來内部數據,張口要 225 萬美元,比特币支付。
勒索的郵件在 9 天前收到,蔚來調查後發現,對方是來真的:被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。
蔚來表态:堅決不會向網絡犯罪行為低頭。20 日晚上,蔚來老闆李斌出來道歉,說沒保護好用戶的信息安全,願意承擔責任。他重申:不會與不法行為妥協。
與此同時,一張有人兜售蔚來數據的聊天截圖在網上流傳。這人宣稱破解了蔚來大量數據,給了蔚來兩次機會,但沒談攏,現在公開對外出售,隻要 1 個比特币,就可以全部拿走。
稍微有點法律常識的人看到這裡,就能明白這肯定是犯法了。這不僅侵犯了個人隐私,還構成敲詐勒索。
對方倒是顯得理直氣壯,說錯不在我,是因為蔚來不給錢,這才有償曝光。他認為蔚來有錯:甯願花費千萬請歌手,也不願意買斷這部分數據來保護各位車主和用戶。
圖源:勒索信息
不愧是高智商犯罪。如果可以給這事再加一項罪名,那一定是綁架罪——道德綁架。
勒索者公開倒賣的截圖信息未得到蔚來官方确認,但也沒否認。不過數據洩漏,是闆上釘釘了。
這應該是近兩年來汽車行業最嚴重的數據洩露事故之一。之前大家總擔心個人隐私洩露,因為一些手機 APP 動不動就違規收集個人信息,一不小心就 " 裸奔 "。現在,智能汽車的車主們,可能也離 " 裸奔 " 不遠了。
洩露了哪些數據?
在官方通告裡,蔚來沒說具體洩露了哪些數據。但網傳的賣數據的人把清單列的明明白白。
這些數據可以理解為一個超大數據包,内部又分成很多子集,但總體上可以分為兩大類:蔚來的公司數據,車主的個人數據。
公司數據主要包括以下這些:
1. 蔚來内部員工數據 22800 條,包含總裁到一線員工,售價 0.15 比特币;
2. 蔚來注冊用戶數據 4850000 條,售價 0.15 比特币;
3. 企業及企業代表聯系人數據 10000 條,售價 0.1 比特币;
4. 490000 條訂單及 90000 條退單數據,售價 0.15 比特币。
車主數據包括如下這些:
1. 車主用戶身份證數據 399000 條,售價 0.25 比特币;
2. 用戶地址數據 650000 條,售價 0.15 比特币;
3. 車主親密關系數據 360000 條,售價 0.2 比特币;
4. 車主貸款數據 170000 條,售價 0.1 比特币。
所以在這起數據洩露案中,蔚來車主和蔚來公司都是受害者。
首先受影響最大的肯定是車主。從身份證到地址,甚至貸款信息都洩露了,這都是黑灰産長期搜尋的對象,被洩露的車主以後很可能騷擾電話沒完沒了。
值得一提的是這裡還有個 " 車主親密關系數據 ",懂數據分析的人可以在這個數據基礎上挖掘車主的社會關系。比如 " 緊急聯系人 ",騙子拿到這個數據就可以冒充你,給你親人發短信,說車撞了快打錢來。
蔚來公司也會受到影響,一些比較重要的數據洩露了。比如 22800 條内部員工數據,總裁到一線員工都包含在内了。這些數據對普通人可能沒啥價值,但對從事新能源招聘和獵頭工作的人來說非常值錢。
一位汽車獵頭對深途說,前些年很多獵頭會買數據,要不然就得一個個打電話去問,求着問公司組織架構。" 花點錢其實能省很多事情,不過現在越來越少了。"
另外,蔚來注冊用戶數據、訂單及退單數據,可以用來分析蔚來潛在車主情況,總結退單原因,如果被競争對手掌握将會比較被動。
勒索者提到,以上數據隻是部分,因為數據較多,還有一些子業務數據沒有列出,全部數據打包價 1 個比特币。
這個事情的性質是比較惡劣的。雖然個人數據洩露不是新鮮事,但新能源汽車行業的數據洩露卻是一個新課題。造車新勢力們一直标榜智能化,将數據視為核心資産之一,結果連基本的數據安全保護都做不到,不得不讓人憂心。
蔚來很重視。先是蔚來信息安全負責人代表蔚來出來發通告,然後李斌專門出來道歉,第二天蔚來又在港交所發布通告。由此可見一斑。
這些數據還能幹啥?
數據洩露後,車主最關心的問題是,自己會受到什麼影響?
除了可能會被黑灰産盯上,這些數據還能被拿來幹啥?比如,會不會車子直接被遠程開走了?又或者,有一天突然刹車踩不動?
大家的擔心不是空穴來風。因為既然數據能被洩露,那說明蔚來的數據保護是存在漏洞的。有漏洞就有被入侵的風險。
早在五年前就發生過黑客偷車的事件。當時偷車賊盯上了斯巴魯汽車的數字鑰匙系統,制作了一個能收集無線電信号的簡單設備,計算出下一個滾動代碼,然後将類似的無線電信号發送回目标汽車,就把斯巴魯汽車的遙控鑰匙系統給破解了。
破解之後能幹嘛呢?簡單說就是,數字鑰匙能幹的事,它都能幹。比如解鎖車門、鳴笛、獲取車輛位置記錄信息等。而攻破漏洞的這套裝置,成本不到 30 美元。
當然,這五年裡車企的技術取得了很大進步,很多漏洞被補上了。但這就像一場貓鼠遊戲,總有人能發現新的漏洞。
即便強如特斯拉,也避免不了被 " 黑 "。" 紅衣教主 " 周鴻祎說,360 就曾三次破解特斯拉雲端的系統。2020 年,特斯拉 Model X 的自動駕駛系統多次被黑客入侵。2021 年,特斯拉因車内攝像頭記錄車内大部分空間信息陷入 " 隐私門 ",其中的監控錄像就是一名黑客入侵特斯拉汽車後曝出來的。
理論上,隻要聯網了,任何一家車企的系統都有被破解的可能。這其中的關鍵在于,黑客有沒有必要去幹這個事,要考慮時間、成本、技術問題。
蔚來被盯上,一方面因為蔚來樹大招風,雖然現在理想和小鵬發展也很快,但若要論資排輩,以及比影響力,那還是得蔚來。尤其是在歐美市場。另外,蔚來的品牌比較高端,車價對标 BBA,車主大部分是中産或所謂的有錢人,這些人的信息更值錢。用一位業内人士對深途的說法:" 更好賣。"
不要小瞧了一些看似無關緊要的個人信息,這些信息對一些黑灰産來說,簡直是富礦。
我們舉一個例子。高德地圖之前做過一個報告,僅統計了不同品牌汽車車主的行程軌迹,就得出了如下結論:奔馳用戶比較有錢,因為住别墅的比例較高;寶馬用戶喜歡購物,因為經常去購物中心;沃爾沃用戶愛好文藝,因為總是去劇場和名勝古迹;奧迪用戶多為體制内人員,因為他們的行蹤總是出現在政府機關。
搞清楚了這些人的用戶畫像,就可以打電話給他們做精準營銷。電話推銷員肯定會向奔馳車主推薦别墅,而不會冒充親人找奧迪車主要錢,尤其是那些常用地址是派出所的奧迪車主。
那麼,如果你是一個蔚來車主,而且恰好還是在 2021 年 8 月之前提的車,你現在是不是有點慌?
先别慌。蔚來說事情還沒完全搞清楚,還在進一步調查數據洩露的原因和影響範圍。蔚來信息安全負責人在李斌道歉後特意補充了一句:本次事件不涉及車輛使用中産生的數據,也不影響車輛的駕乘或遠程控制。
圖源:蔚來 App
不說具體洩露了啥,隻說沒洩露啥,那說明沒洩露的這部分是關鍵數據。以蔚來的說法來看,對車主的影響應該還是有限的。以上提到的破解車輛、掌握你的行蹤,應該不會發生。
一位蔚來車主就很淡定,他對深途說:" 洩露的這些數據,其實在中國商業環境下很多途徑也能拿到,隻是把它們組合在了蔚來車主的場景下。"
誰來承擔責任?
還有一個非常關鍵的問題:蔚來的數據是如何洩露的?誰竊取了這些數據?
通常情況下有兩種可能,一是黑客攻擊,二是有内鬼。
目前已知的信息中,有人在公開賣蔚來洩露的數據,但無法判斷這份數據經過了幾道手。因為交易數據的人和竊取數據的人,有可能不是同一人。從勒索者的表述來看,黑客攻擊破解的可能性更大一些。
北京至普律師事務所合夥人李聖對深途說,竊取或者以其他方法非法獲取公民個人信息的,構成侵犯公民個人信息罪,判刑三年以下或拘役,情節特别嚴重的判刑三到七年,還會有罰金。另外,獲得數據的人向蔚來索要贖金,還構成了敲詐勒索罪。
勒索者既然敢公然兜售數據,肯定是熟知這其中利害的,所以在要錢時,指明隻接收比特币,因為比特币不好追蹤。
那麼有沒有可能是蔚來内部員工洩密呢?目前不能完全排除這種可能性。
互聯網行業曆史上發生的數據洩露事件,有不少就是出了内鬼,甚至裡應外合打配合。
李聖律師說,如果違反國家有關規定,将在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,按照侵犯公民個人信息罪從重處罰。
内部洩密的情況發生,往往是因為公司内部的信息安全保護機制出了問題。
新能源汽車的數據存在向供應商、合作夥伴、集團其他業務等第三方共享、轉讓、委托處理數據的情況。比如自動駕駛,很多車企會跟第三方自動駕駛公司合作,就會涉及到數據的共享問題。大量敏感數據在多部門、組織之間頻繁交換和共享,擴大了數據暴露面。如果公司内部沒有完善的制度,數據洩露的風險是很大的。
車企掌握了大量用戶數據,因此更有責任做好風險防範。有自稱從事信息安全的人給李斌留言說,信息安全和工作效率天生就是相悖的,此次蔚來數據洩露事件,不能隻歸罪于外,内因是根本,必須有内部問責機制。
蔚來公司的信息系統安全防護能力如何?這個很難評估。但有這樣一件小事,或許能部分說明問題。
今年 4 月,蔚來在公司内部發布了一項處理通報,公司某集群服務器的管理員張某,利用職務便利,偷偷用公司服務器算力資源進行以太坊挖礦,時間長達一年之久。直到被人投訴至公司風險管理部門,蔚來才發現這事。在調查中,張某對自己的違規行為供認不諱。
不論是黑客還是内鬼,能鑽漏洞的前提,是要有漏洞可鑽。
當然,在蔚來數據洩露這件事裡,蔚來也是受害方。不僅數據丢了,品牌受損,還可能要對車主進行賠償。
李聖對深途介紹,如果信息洩露的車主因此産生了損失,蔚來不能證明自己沒有過錯,應當承擔損害賠償等侵權責任。具體的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益确定。損失或利益難以确定的,根據實際情況确定賠償數額。
在十天前收到勒索者的郵件時,蔚來有兩種選擇,一是交錢私了,二是不予理會。蔚來選擇了後者,而且态度強硬。
這十天裡蔚來沒有公開此事,去年 8 月前提車的蔚來車主們,也不知道自己的信息已經被洩露了。直到有人把這些數據拿到網上去賣,蔚來才公開承認。
非法竊取數據、敲詐勒索的行為是必須堅決予以打擊的,但掌握着大量用戶數據的車企們,也應該承擔起保護數據安全的責任,這是企業的本分。希望車企不要再讓車主無故 " 裸奔 "。
本文來自微信公衆号:深途(ID:shentucar),作者:黎明,編輯:艾小佳