邓思邈发自副驾寺
智能车参考公众号 AI4Auto
蔚来的数据泄露传闻,被官方证实了。
在这之前传闻满天飞,据说有人自称破解了蔚来大量数据,还向蔚来开价勒索。
窃取的信息涉及面之广令人咋舌……车主用户的身份证、地址、亲密关系、贷款等众多隐私数据统统被曝光。
而且时间点也微妙,——蔚来年度发布会 NIO Day 即将到来,于是有了图中的“宁愿花千万请歌手,也不愿意买断这部分数据……”
众所周知,蔚来每年 NIO Day 都会重金邀请明星歌手乐队现场表演。今年据称是安徽本土歌手李荣浩。
但买断泄露的用户数据和发布会请歌手,为啥会被联系在一起?蔚来真的是处于成本花销来考虑吗?
刚刚,蔚来官方出面,甚至以上市公司身份披露公告,解释了这件事的来龙去脉。
蔚来用户数据被泄露
蔚来首席信息安全科学家卢龙,发表了一则官方声明。
据他所言,蔚来收到了外部邮件,对方声称拥有蔚来内部数据,并向蔚来勒索 225 万美元等额比特币,折合人民币约为 1568 万元。
被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。
卢龙还进一步解释,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
概括起来就是这些数据无法造成直接的物理攻击。
但也如爆料中讲的那样,因为用户数据维度足够隐私且丰富,还会进一步被挖掘分析,有可能导致欺诈发生。
蔚来已经给客服人员传递了防骗的方法,提醒车主用户如果近期遇涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。
目前具体涉及多少位用户,蔚来官方并没有公布。
从蔚来交付量看,2021 年1-7 月累计交付 49887 辆新车,2020 年全年交付量达 43728 辆,2019 年全年一共交付了 20565 辆,2018 年蔚来交付了 11348 辆。
也就是说,蔚来这次隐私数据泄露的规模,应该不超过 125528 辆。
对应起来,大概是 10 万量级的用户和家庭的隐私数据信息。
对此,蔚来 CEO 李斌也出面作出了回应:
至于后续处置方案,蔚来在官方声明中表示“在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件”。
并且在事件发生后,蔚来表示他们也“对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生”。
当然,作为用户服务知名的公司,蔚来和李斌都专门强调了赔偿用户损失。
目前来看,用户损失尚未有明确可计算的方式,一是不知道具体谁在其中,二也很难判断是否就是因为蔚来数据泄露导致的损失。
但这种表态总是好的,因为在智能车大行其道越来越成为主流的当下,有蔚来和李斌的先例在前,或许也能提供行业参考。
因为类似这种数据泄露和勒索,蔚来是第一个,却不会是最后一个。
互联网黑产,正在越来越盯上这个高速发展的新领域——重心在造车但还尚未建立足够防护意识的新型数据安全领域。
网友们怎么看?
而且作为行业首例,消息传出后还是炸开了锅。
有人对蔚来这个声明不理解。
也有觉得这事儿比表面更大的:
甚至还有蔚来社区用户,觉得蔚来重视程度不够。
他认为蔚来在公告中应该提及泄露的信息种类,并且告知用户后续如何减轻损害,比如提示用户修改密码等措施,同时还应该逐一告知受影响的用户个人。
有车主抖起机灵:
还有网友站在信息安全从业者的角度,给出了自己的建议:
有网友基于此次事件,顺带对蔚来提出了更多疑问:
当然,数据安全和黑产勒索相关的话题,怎么少的了 360 董事长兼 CEO 周鸿祎,他特意发布了一条视频微博。
在这个视频里,周鸿祎强调了数据安全保护的重要性:
我们国内一个著名的车厂,曾经他的电池动力车间,遭到勒索软件的攻击,停工了两周,那这造成的经济损失就是很大的。这个勒索攻击组织已经大行其道,在国内很多生产厂家,包括医院在内的一些重要单位,国内勒索金额大概平均是在 500 万到 1000 万元人民币,国外的勒索金额是 500 万美元到 1000 万美元,也就是说它已经变成了一种商业模式。
至于如何应对这类勒索,周鸿祎表示“将来应该建立国家级的攻击基因库和样本库,有了这个东西之后,你在发现攻击和溯源的时候,就会越来越精准”。
老周这次格局挺大,至少都没给斌哥推荐一下预装 360 安全卫士
所以你怎么看待蔚来此次数据泄露,有没有更好的应对办法和建议?