2023.01.06

蔚来数据被窃遭勒索225 万美元

蔚来此次被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息,对方向蔚来提出的勒索目标为225万美元等额的比特币。

12月20日,蔚来用户数据遭窃取被勒索的消息,在网络上炸开了锅。 

据了解,蔚来此次被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息,对方向蔚来提出的勒索目标为225万美元等额的比特币。蔚来目前已成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。 

事实上,类似这样的车企数据泄露事件并非孤例,此前通用汽车、菲亚特克莱斯勒、福特、大众、丰田、沃尔沃等汽车厂商都曾卷入数据泄露风波。 

在江西新能源科技职业学院新能源汽车技术研究院院长张翔看来,车企无法完全避免类似的数据泄露事件的发生,只能尽可能地提高安全等级,增加黑客的攻击成本。 

值得注意的是,数据泄露风波之外,蔚来第三季度的净亏损进一步扩大,与此同时,其毛利率指标也有所恶化,而此前定下的2022年交付15万辆汽车的KPI已大概率无法完成。为了尽可能地接近交付目标,蔚来推出补贴活动以刺激销量。 

蔚来用户数据遭窃取被勒索225万美元

天眼查资料显示,蔚来是一家智能电动汽车研发商。主要产品包括电动方程式赛车以及EP9型无人驾驶电动汽车,已进行过15轮融资,融资金额达数百亿。

12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布一则公告称,12月20日,有不法人士在网上出售蔚来相关数据。 

另据网传的一张图片显示,有人自称于近日破解了蔚来的大量数据,并给了蔚来两次机会,但“蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此我们决定有偿曝光”。 

据该人士列出的内容显示,其拥有的数据不乏蔚来员工数据、订单数据、用户及企业代表联系人数据,此外还包括车主身份证、用户地址、车主亲密关系、车主贷款数据等极为隐私的信息。 

该人士还对这些数据进行了明码标价,如22800条员工数据,上至总裁、下至一线员工,售价为0.15比特币;与车主用户身份证相关的数据399000条,售价为0.25比特币。 

据悉,早在12月11日,蔚来公司便收到外部邮件,对方声称拥有蔚来的内部数据,并以泄露数据对蔚来进行价值225万美元等额比特币的勒索。 

在收到勒索邮件后,蔚来公司当天便立即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。 

事件发生后,蔚来对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。蔚来承诺,对因本次事件给用户造成的损失承担责任,并对此次事件表示歉意。蔚来表示,窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不向网络违法犯罪行为低头。 

次日,蔚来又在港交所发布公告称,蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。 

据蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区透露,本次事件并不涉及车辆使用中产生的数据,如行车轨迹、座舱数据等,也不会影响到车辆的驾乘或远程控制。目前还在进一步调查数据泄露的原因和影响范围。 

对于发生用户数据泄露遭勒索一事,蔚来创始人、CEO李斌在蔚来官方社区表示,保护好用户信息安全是蔚来的责任,没有做好向大家深表歉意,蔚来会对此次事件给用户带来的损失承担责任。同时,蔚来会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。 

雷达财经注意到,在蔚来社区里,有多位网友反馈称最近接到的骚扰电话较多。甚至有网友称,自己已于12月21日收到诈骗电话,对方称可以为蔚来车主提供30万至100万元的专属贷款。 

对此,蔚来客服表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。 

有网友在相关公告下方的评论区表示,理性看待,互联网时代不可避免,希望蔚来加强网络安全,避免类似事件的发生;也有网友表示,坚决不向黑恶势力低头,打击和严惩买卖个人数据的灰色产业。 

一名自称兼管公司信息安全的网友认为,信息安全和工作效率天生相悖,要安全就需要多加几层防御,如果每次正常工作都需要通过防御网,那么将会影响到工作效率,但反之则有可能被像苍蝇一样令人作呕的勒索病毒攻击。 

该网友还指出,信息安全管理应按照ISO27001要求,首先识别信息的安全等级,像此次泄露的涉及用户基本信息的数据应标识为最高等级,按等保三级要求,就连数据库存储都应加密。同时,蔚来此次发生的信息安全事件,不能只归罪于外,内因是根本,必须有相应的内部问责机制。 

多家汽车厂曾出现用户数据泄露

雷达财经了解到,早在去年10月27日,蔚来就曾向300名用户发起邀请参加其组织的线上沙龙,而这个沙龙探讨的主题便是“数据与网络安全”。

此次沙龙上,蔚来数字系统部的负责人王启研和产品安全部的负责人卢龙向用户分享了蔚来在信息安全领域的工作,介绍了蔚来在车辆端、云端、以及流程管理层面建立的安全保障和防御体系。 

据介绍,蔚来产品安全团队是一支全球化的队伍,其中包括中、美、欧多国的一流安全专家及全球化的研发团队和本地化的运营团队,主要负责所有产品的系统和数据安全、核心安全能力研发及产品全生命周期安全管理。 

雷达财经了解到,蔚来数据安全原则包含用户知情权、非必要不收集、用户和重要数据不出境、最小权限、数据分级分类管理、数据传输和存储加密等多个内容。 

据蔚来负责数字账号安全的产品经理和体验经理Hao Zhu表示,智能网联汽车在给人们带来巨大的便利性、舒适性和高效性的同时,本身也面临着信息安全和数据保护的挑战。蔚来所面临的信息安全问题,横跨了虚拟和物理两个世界,不单有互联网领域、虚拟领域的信息安全和隐私保护风险;信息安全与否,对车的功能安全会有很大的影响,甚至可能影响大家的人身和财产安全。 

据Hao Zhu介绍,蔚来一直以来都在施行全公司范围的数据分级保护。与用户相关的数据一直都是最高等级的机密信息,从其收集、传输、使用和处理,到存储、销毁的整个生命周期,都会对其进行风险分析,并作出相应的改进,从而确保这些数据在所有的线上系统和线下各种使用场景中,都能够得到恰当的保护。 

然而,今年4月,蔚来在一份内部通知中表示,自2021年2月起,蔚来某集群服务器管理员张某利用职务之便,使用公司内部服务器进行了以太坊挖矿并从中获利,相关行为严重违反公司规定,并涉嫌触犯非法控制计算机信息系统罪,对公司系统安全和商业信息安全造成负面影响。 

事实上,在如今这个数据泛滥的互联网时代,车企发生的与数据安全相关的案例并不稀罕。早在2017年7月,据纽约时报报道,网络安全公司UpGuard安全研究员透露,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯、大众等在内的100多家车企,其机密数据在Level One Robotics的公共服务器上曝光。 

去年6月,身为汽车行业巨头之一的大众汽车,又有330万名客户的数据遭泄露。数据泄露的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,其中不乏客户和潜在买家的姓名、地址以及电话号码等个人信息。 

去年12月,沃尔沃汽车也身陷数据泄露风波。彼时,沃尔沃汽车方面表示,已对一起网络安全漏洞和一些研发数据失窃事件展开调查。迄今的调查证实,该公司一些研发资产在黑客入侵期间被盗,这可能会对公司的运营产生影响。 

今年10月,日本汽车品牌丰田汽车又上演了类似的事件。丰田汽车称,在其T-Connect服务中约有29.6万条客户信息可能被泄露,受影响的客户均为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。 

江西新能源科技职业学院新能源汽车技术研究院院长张翔向雷达财经表示,目前车企的数据量普遍较多,随着汽车不断向智能化发展的趋势,智能汽车相比传统汽车数据量更为庞大。对于这些数据,行业内的通用做法一般是将其储存在云端,而不是保存在本地。因为云端存储的话,成本更低、安全性更好、效率更高,但也因此带来了一定的安全隐患。车企若想提升数据的安全级别,通常需要支付更高的费用。 

“对于黑客而言,其恶意对车企的数据攻击,主要是想通过勒索获得一笔非法的盈利资金。至于如何避免汽车使用数据的泄露,其实车企并不能做到100%的规避。车企只能是尽量地提高安全等级,增加黑客的攻击成本,使黑客攻击用户使用数据的难度加大,进而主动放弃攻击”,张翔进一步补充道。 

雷达财经了解到,目前国内正在就汽车数据安全保护不断进行法律法规方面的完善,如出台了《汽车数据安全管理若干规定(试行)》、《信息安全技术网联汽车采集数据的安全要求》、《关于进一步加强新能源汽车企业安全体系建设的指导意见》等相关文件。 

这些文件对于车企在健全网络安全保障体系方面提出了更多要求,要求车企加强网络安全防护、强化数据安全保护、落实个人信息安全防护。 

年度交付目标仅完成七成

财报显示,蔚来第三季度的营收达到130.02亿元,同比增长32.6%。但蔚来第三季度的净亏损却高达41.11亿元,与上年同期录得的8.35亿元的净亏损相比扩大392.1%,与第二季度27.58亿元的净亏损相比也扩大了49.1%。 

与此同时,蔚来的车辆毛利率不论是同比还是环比均出现了下降。第三季度,蔚来的车辆毛利率为16.4%,与去年同期的18%相比下降160个基点,与上一季度的16.7%相比下降30基点。 

整车销售毛利率的下滑,叠加多方面的因素,进一步影响到了蔚来整体的盈利能力。今年第三季度,蔚来的整体毛利率为13.3%,而去年第三季度蔚来的整体毛利率为20.3%,同比下降700个基点。 

对于毛利率的下跌,蔚来解释称主要是由于具有较高销售毛利率的新能源汽车积分销售产生的收入减少、车辆毛利率下降及能源及服务网络投资扩大导致其他销售毛利率下降所致。 

交付数据方面,第三季度蔚来实现了31607辆的交付成绩,同比增长29.3%,创下蔚来单季度交付量的历史新高。刚刚过去的11月,蔚来交付14178辆汽车,虽然该月蔚来的交付量同比实现了30.3%的增长,但仍不及哪吒汽车理想汽车同期15072辆、15034辆的交付成绩。 

若从年初开始计算,蔚来年内的累计交付量达到106671辆。在李斌看来,年销量10万辆是造车新势力盈利的一个重要分水岭。李斌还放言,2023年第四季度,蔚来品牌将实现盈亏平衡。 

值得注意的是,蔚来此前为2022年定下的交付目标为15万辆以上。虽然蔚来已成功闯入年交付量“10万辆俱乐部”,但也仅完成目标的七成左右。换言之,在2022年仅剩最后一个月就要结束的情况下,蔚来目前距离年度交付量KPI的缺口还剩43329辆,几乎没有完成的可能。 

中国乘用车产业联盟秘书长张秀阳认为,销量、毛利率是新能源车企最为看重的两个数据。对于销量未达预期的企业,可能会选择牺牲毛利的方式来降价保销量。 

为了进一步促进销量的提升,蔚来已在11月初推出购车补贴方案,即在年底前下定蔚来ES8、ES6、EC6、ET7、ES7并且锁单排产,仍可享受2022年新能源汽车购置补贴。 

尽管2022年即将进入尾声,但对于蔚来汽车而言,2023年的任务依旧艰巨。按照此前预定的计划,蔚来汽车拟在明年上半年推出5款新车,如若一切顺利,届时蔚来将出现在售车型总数达到8款的局面,而这对于蔚来来说,极为考验其研发创新及产能等方面的综合实力。 




上一篇:数据资产的玄学、显学

下一篇:黑客勒索推特,将出售4亿用户数据