蔚來準備如何應對用戶信息洩露事件？

近日，網上流傳了一份關于第三方違法出售蔚來信息數據并明碼标價：其中包括蔚來内部員工數據 22800 條，車主用戶身份數據近 40 萬條，還包括用戶地址信息、車主貸款數據等。

雖然這份信息的來源有待考證，不過蔚來還是對于近日發生的信息洩露問題進行了回應。

12 月 20 日下午，蔚來首席信息安全科學家、信息安全委員會負責人盧龍在蔚來官方社區發布公告稱，2022 年 12 月 11 日，蔚來公司收到外部郵件，聲稱擁有蔚來内部數據，并以洩露數據勒索 225 萬美元（當前約 1570.5 萬元人民币）等額比特币。

據盧龍透露，在收到勒索郵件後，蔚來當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件。經初步調查，被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。

而關于具體的信息洩露渠道，蔚來并沒有進一步公布。

蔚來創始人李斌則回應，" 非常抱歉發生這樣的事。沒有保護好用戶信息安全是我們的責任，向大家深表歉意，會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件，對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。"

圖源：蔚來 App

值得注意的是，這也是我國車企第一次被公開的用戶個人信息洩漏。

蔚來的回應有幾層含義？

首先，在聲明中，沒有公布黑客入侵的具體途徑，或者辟謠非内部洩露所緻。對于進一步公開信息，讓用戶了解真實情況，蔚來需要同步更新的調查進展。

圖源：蔚來 App

其次，蔚來首席信息安全科學家、信息安全委員會負責人盧龍在社區中還解釋稱，本次事件不涉及車輛使用中産生的數據，比如行車軌迹、座艙數據，也不影響車輛的架乘或遠程控制。不過，關于此後蔚來如何繼續改進，維護用戶信息安全，則沒有進一步回應。

同時，如果不是網絡上流傳出相關售賣信息，早在 12 月 11 日發生的黑客勒索事件，蔚來為何沒有第一時間回應并提醒用戶注意潛在風險，而是直到事件發酵才選擇發布公告，在事件處理方式上欠妥。

而在蔚來 App 上，很多蔚來車主也十分關心，在信息洩露後，接下來應該注意什麼。

比如，車主應該提防哪些風險，怎麼界定損失和數據洩露有關，以及聲稱 " 要對用戶帶來的損失承擔責任 " 會如何承擔等等。

圖源：蔚來 App

據品駕了解，有第三方數據安全技術公司正在幫助蔚來做信息安全改造，目前蔚來正在修複潛在的信息洩露風險。

用戶數據信息洩露，比我們想象的還要多

放眼國際，跨國車企的信息洩露，包括用戶個人信息洩露也不在少數。

在蔚來之前，今年汽車行業最大的用戶數據洩露來自于豐田，就在 10 月，豐田發現，T-Connect 網站源代碼的一部分被錯誤地發布在 GitHub 上，其中包含存儲客戶電子郵件地址和管理号碼的數據服務器的訪問密鑰。這使未經授權的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期間訪問 296,019 名客戶的詳細信息，這造成的豐田車主數據洩露達 30 萬人。

不過，豐田在聲明中強調，使用其 T-connect 服務的約 29.6 萬名客戶的個人信息可能已被洩露，包括電子郵箱地址和客戶編号等，但其他敏感信息如姓名、電話号碼和信用卡信息等均未受到影響。從用戶個人信息洩露程度來看，蔚來此次的影響要高于此前豐田的用戶數據洩露。

值得注意的是，關于此次事件豐田的處理方式。

根據外媒報道，豐田汽車已就此事向受影響的客戶發送了電子道歉郵件，并且建立了網站表單，從而使客戶可以查看自己的電子郵箱是否在可能被洩露的範圍内。此外，豐田汽車還設立了專門的呼叫中心，以回答客戶針對信息洩露的相關問題。

2021 年，大衆及奧迪也經曆了數據洩露問題，受影響的客戶及潛在買家超過 330 萬人。洩露的數據包含相關客戶和潛在買家的姓名、地址和電話号碼等個人信息，美國和加拿大的 90,000 名客戶的 " 更機密 " 數據被洩露，包括獲得貸款。資格信息和社會安全号碼等。

關于此次事件，大衆的處理方式包括：敏感數據已暴露的個人将通過注冊代碼獲得免費信用監控。這意味着，被暴露信息的個人，可以監控到自己的信息是否受到損害。

其次，聘請外部網絡安全專家調查這起事件。

同時，為那些認為自己受到數據洩露影響的人設立了一個幫助中心。  這一點可以平息更多用戶及車主的疑問。

從豐田及大衆的經曆來看，用戶信息數據洩露，其實在汽車行業并非個例。

有媒體報道，很多車企在遭遇黑客勒索時，會選擇繳納贖金息事甯人。這種暗戳戳的交易，沒有車企會選擇主動承認，因為這意味着在面對用戶信息安全問題上，車企選擇隐瞞和妥協。

這種做法的前車之鑒就是 2016 年，美國網約車巨頭優步（Uber）經曆的一起重大黑客攻擊事件。因 Uber 前首席安全官約瑟夫 · 沙利文在收到匿名郵件後，第一時間選擇以發現安全漏洞賞金的名義向黑客支付了價值 10 萬美元的比特币，并與黑客簽訂保密協議。

最終該事件被暴露，瑟夫 · 沙利文被起訴。

所以，蔚來在回應中稱不會支付贖金的做法，并不是與黑客硬鋼，而是這種做法并不能真正保護數據不被曝光。花錢不但不能保平安，可能還犯法。

車企都擁有哪些用戶隐私數據？

相比于政府機構、國際組織、門戶網站、航空公司等數據洩露重點行業，最近幾年，汽車制造商的數據洩露問題也越來越普遍。

另一方面，智能汽車時代的到來，除了用戶個人信息數據，5G、網聯化、車載傳感器所獲得的用戶行駛數據，所涉及的隐私和安全問題同樣不可小觑。

《速度與激情 8》中自動駕駛汽車失控場景 圖源：源于網絡

國家工業信息安全發展研究中心的一項調研顯示，一輛智能網聯汽車每天至少收集 10TB 的數據，不僅數量極大，而且涉及到駕乘人員的出行軌迹、習慣、語音、視頻等等，一旦遭受侵害會洩露個人隐私。

國家工業信息安全發展研究中心也建議車企，從兩個角度提升數據安全方面的能力：

一是提升核心基礎技術的安全可控能力，即涉及車輛本質上的安全。

二是提升數據安全綜合防護能力，利用新一代的信息技術，包括區塊鍊技術、流量檢測技術、國密技術等，提升綜合防護的能力。

蔚來此次的用戶數據信息洩露僅僅是冰山一角，也提醒整個行業關于強化技術手段和管理機制的重要性。

同時，蔚來的此次做法并沒有為國内車企，尤其是新造車頭部企業所應該樹立的代表性。作為一家用戶企業，蔚來的信息洩露之所以得到更多關注和讨論，也是因為我們期待一家用戶企業可以在危機事件中拿出真誠對待用戶的樣闆。

我們也将關注蔚來此次用戶信息洩露事件的後續進展。