李斌致歉蔚來(lái)數(shù)據(jù)泄露，黑客疑似明碼標(biāo)價(jià)，車(chē)主信息安全誰(shuí)來(lái)守護(hù)？

電子發(fā)燒友網(wǎng)報(bào)道（文/吳子鵬）日前，蔚來(lái)首席信息安全科學(xué)家、信息安全委員會(huì)負(fù)責(zé)人盧龍?jiān)谖祦?lái)官方社區(qū)發(fā)布公告，2022年12月11日，蔚來(lái)公司收到外部郵件，聲稱(chēng)擁有蔚來(lái)內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬(wàn)美元等額比特幣。

事件引起了廣泛的關(guān)注，蔚來(lái)官方聲明下，車(chē)主已經(jīng)發(fā)布了數(shù)百條留言，并且討論的熱度不減。在車(chē)主的討論中，大部分車(chē)主比較關(guān)注的事情是，蔚來(lái)此次規(guī)模性的數(shù)據(jù)泄露原因是什么？哪些數(shù)據(jù)被泄露？泄露到了何種程度？蔚來(lái)是否會(huì)妥協(xié)付款？

針對(duì)這些問(wèn)題，蔚來(lái)創(chuàng)始人、董事長(zhǎng)、首席執(zhí)行官李斌在蔚來(lái)官方社區(qū)致歉并表示，“會(huì)對(duì)此次事件給用戶(hù)帶來(lái)的損失承擔(dān)責(zé)任”，“對(duì)竊取和買(mǎi)賣(mài)此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底，我們不會(huì)與不法行為妥協(xié)?！?br />

黑客疑似明碼標(biāo)價(jià)

在盧龍發(fā)布的《關(guān)于數(shù)據(jù)安全事件的聲明》中有提到，經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為2021年8月之前的部分用戶(hù)基本信息和車(chē)輛銷(xiāo)售信息。在收到勒索郵件后，公司當(dāng)天即成立專(zhuān)項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對(duì)，并第一時(shí)間向有關(guān)監(jiān)管部門(mén)報(bào)告此事件。蔚來(lái)將協(xié)同有關(guān)執(zhí)法部門(mén)深入調(diào)查此次事件，并依法堅(jiān)決打擊相關(guān)的數(shù)據(jù)竊取、買(mǎi)賣(mài)行為。

?
圖源：蔚來(lái)官方社區(qū)

同時(shí)，圍繞此次事件，網(wǎng)絡(luò)上流傳一份黑客對(duì)蔚來(lái)汽車(chē)的勒索報(bào)價(jià)。如下圖所示，內(nèi)容大概就是黑客公開(kāi)展示的一則信息，其中提到，在事件發(fā)生之后曾兩次聯(lián)系蔚來(lái)，但是蔚來(lái)均沒(méi)有妥協(xié)，不愿意買(mǎi)斷。因此黑客決定將這些數(shù)據(jù)有償曝光，并提供了一份明碼標(biāo)價(jià)的價(jià)格表。

?
網(wǎng)傳黑客售賣(mài)信息截圖

通過(guò)這份沒(méi)有經(jīng)過(guò)官方確認(rèn)的報(bào)價(jià)表能夠發(fā)現(xiàn)，此次泄露最多的信息可能是蔚來(lái)用戶(hù)注冊(cè)信息，大概有4850000條，黑客明確表示這些信息對(duì)蔚來(lái)的競(jìng)爭(zhēng)對(duì)手是有用的，售價(jià)為0.15比特幣。此外，還有蔚來(lái)內(nèi)部員工數(shù)據(jù)228000條，車(chē)主用戶(hù)身份證數(shù)據(jù)3990000條，用戶(hù)地址數(shù)據(jù)650000等信息，報(bào)價(jià)均在0.1-0.25比特幣之間。

用戶(hù)數(shù)據(jù)是車(chē)企最寶貴的財(cái)富

目前，全球主流的汽車(chē)市場(chǎng)全部都已經(jīng)邁入到智能網(wǎng)聯(lián)發(fā)展階段，致使汽車(chē)在兩方面的數(shù)據(jù)出現(xiàn)爆發(fā)式增長(zhǎng)，一個(gè)是智能駕駛帶來(lái)的行駛數(shù)據(jù)，還有一個(gè)便是用戶(hù)信息數(shù)據(jù)。

此次蔚來(lái)數(shù)據(jù)泄露事件所涉及的便是員工和用戶(hù)信息數(shù)據(jù)，來(lái)源分別是企業(yè)的數(shù)字化管理以及車(chē)主App。我們?cè)诖酥饕牧暮笳?。在智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域，幾乎每一個(gè)車(chē)企都有一套自己的App，用于幫助用戶(hù)了解汽車(chē)基本信息，如車(chē)況、保養(yǎng)、里程等，當(dāng)然也有一定的社交功能。目前車(chē)友活動(dòng)很多都不再依靠傳統(tǒng)QQ群和微信群的方式，而是有專(zhuān)門(mén)的車(chē)主社區(qū)，可以讓一個(gè)地區(qū)的車(chē)主發(fā)起活動(dòng)倡議。

對(duì)于車(chē)企而言，智能網(wǎng)聯(lián)化的汽車(chē)就是一個(gè)數(shù)字終端，需要提供一個(gè)無(wú)縫鏈接的數(shù)字化體驗(yàn)，以智能手機(jī)為起點(diǎn)再合適不過(guò)。我們電子發(fā)燒友網(wǎng)曾在多篇報(bào)道吉利汽車(chē)戰(zhàn)略，尤其是吉利收購(gòu)魅族時(shí)強(qiáng)調(diào)過(guò)這一點(diǎn)。從手機(jī)上的App出發(fā)，便能做用戶(hù)聚合，提升用戶(hù)黏性，最終形成一個(gè)生態(tài)圈。

因此，在現(xiàn)今的汽車(chē)圈，也有一句行業(yè)共識(shí)的話(huà)：對(duì)用戶(hù)數(shù)據(jù)的挖掘，就是智能汽車(chē)的本質(zhì)。

這么說(shuō)是有根據(jù)的。從汽車(chē)智能化發(fā)展來(lái)看，未來(lái)的汽車(chē)架構(gòu)是軟件定義硬件，在整車(chē)研發(fā)時(shí)會(huì)分兩個(gè)階段，前期是軟件和硬件的開(kāi)發(fā)解耦，后期則是軟件和硬件的持續(xù)協(xié)同。那么對(duì)于整車(chē)后期開(kāi)發(fā)而言，架構(gòu)化的軟件以及模塊化的硬件最終是要服務(wù)平臺(tái)化的汽車(chē)。而平臺(tái)化汽車(chē)的核心宗旨是什么呢？是用戶(hù)需求導(dǎo)向的定制化開(kāi)發(fā)，因此在協(xié)同開(kāi)發(fā)階段，用戶(hù)畫(huà)像構(gòu)建是最重要的環(huán)節(jié)，否則最終的車(chē)機(jī)平臺(tái)大概率要被車(chē)主唾棄。要構(gòu)建貼近用戶(hù)的畫(huà)像，交互評(píng)價(jià)數(shù)據(jù)和用戶(hù)使用數(shù)據(jù)等是必不可少的。

此外，用戶(hù)大數(shù)據(jù)還能夠更好地幫助車(chē)企定制戰(zhàn)略。比如以蔚來(lái)舉例，哪個(gè)城市的車(chē)主密集度高，那么換電站的配比就要跟上；北方車(chē)主對(duì)用車(chē)的感觸則能夠幫助蔚來(lái)持續(xù)優(yōu)化自己的電池包技術(shù)，比如加入自加熱的技術(shù)；還有自動(dòng)駕駛技術(shù)的優(yōu)化，可以通過(guò)用戶(hù)數(shù)據(jù)看到哪些常用場(chǎng)景是自己沒(méi)有覆蓋到的，在下一次優(yōu)化時(shí)可以著重提出來(lái)。

因此可以說(shuō)，用戶(hù)數(shù)據(jù)是智能網(wǎng)聯(lián)時(shí)代車(chē)企最寶貴的財(cái)富。

車(chē)主信息安全誰(shuí)來(lái)守護(hù)？

然而，我們也不得不正視一個(gè)問(wèn)題——過(guò)往車(chē)企對(duì)用戶(hù)都是“放養(yǎng)”的狀態(tài)，在直面用戶(hù)這一環(huán)當(dāng)慣了“甩手掌柜”，因此對(duì)功能安全有偏執(zhí)要求的車(chē)企面對(duì)突然涌來(lái)的用戶(hù)數(shù)據(jù)，并沒(méi)有建立起一套同樣要求嚴(yán)苛的安全體系。

比如在車(chē)企做App這一點(diǎn)上，車(chē)企的出發(fā)點(diǎn)是為了主導(dǎo)用戶(hù)生態(tài)圈的建設(shè)，而不讓其掌握在tier 1或者tier 2級(jí)供應(yīng)商的手上。而車(chē)企App作為用戶(hù)現(xiàn)實(shí)車(chē)輛和虛擬生活的交叉點(diǎn)，加上互聯(lián)網(wǎng)實(shí)名制的要求，必然要接觸到大量的用戶(hù)數(shù)據(jù)。目前車(chē)企在用戶(hù)數(shù)據(jù)安全防護(hù)方面基本是摸著石頭過(guò)河，很多措施都有待加強(qiáng)。根據(jù)行業(yè)媒體的統(tǒng)計(jì)，目前全球包括通用汽車(chē)、豐田汽車(chē)、本田汽車(chē)和福特汽車(chē)等國(guó)際汽車(chē)巨頭在內(nèi)的100多家車(chē)企都發(fā)生過(guò)不同程度的數(shù)據(jù)泄露事件。比如去年中旬大眾集團(tuán)的數(shù)據(jù)泄露事件中，就有330萬(wàn)名客戶(hù)被波及，原因是2019年8月至2021年5月期間大眾一家供應(yīng)商將這些未曾脫敏的數(shù)據(jù)留在了互聯(lián)網(wǎng)上。

目前，政府和行業(yè)監(jiān)管部門(mén)對(duì)于汽車(chē)產(chǎn)業(yè)用戶(hù)數(shù)據(jù)安全保護(hù)也沒(méi)有成套的措施，基本屬于發(fā)現(xiàn)一個(gè)查處一個(gè)，如果沒(méi)有涉及到用戶(hù)投訴，也就成了車(chē)企和用戶(hù)之間的問(wèn)題，監(jiān)管部門(mén)并不介入。實(shí)際上，當(dāng)前在汽車(chē)用戶(hù)數(shù)據(jù)保護(hù)方面，從信息收集、分析、存儲(chǔ)、傳輸、查詢(xún)、利用、刪除到向境外提供等方面并沒(méi)有明確的法規(guī)細(xì)則。

在國(guó)內(nèi)，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門(mén)，根據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)，起草了《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（征求意見(jiàn)稿）》，目前正處于意見(jiàn)征詢(xún)的階段，而這是我國(guó)首個(gè)汽車(chē)行業(yè)數(shù)據(jù)安全管理的規(guī)章制度。

在國(guó)外，目前汽車(chē)行業(yè)大都遵循的也是傳統(tǒng)的互聯(lián)網(wǎng)數(shù)據(jù)保護(hù)條例，并非是專(zhuān)用于汽車(chē)產(chǎn)業(yè)的。比如2021年中旬，德國(guó)下薩克森州數(shù)據(jù)保護(hù)局對(duì)大眾進(jìn)行處罰時(shí)，所依照的是《通用數(shù)據(jù)保護(hù)條例》。

此外，現(xiàn)階段和汽車(chē)相關(guān)的數(shù)據(jù)，無(wú)論是行駛數(shù)據(jù)還是用戶(hù)數(shù)據(jù)，都在高速爆發(fā)期，會(huì)不斷涌現(xiàn)出新的內(nèi)容，這也給汽車(chē)數(shù)據(jù)安全保護(hù)提供了更嚴(yán)峻的挑戰(zhàn)。正如清華大學(xué)學(xué)科辦主任、車(chē)輛與運(yùn)載學(xué)院教授楊殿閣在點(diǎn)評(píng)“國(guó)家網(wǎng)信辦就汽車(chē)數(shù)據(jù)安全管理征求意見(jiàn)”這一事件時(shí)表示，智能汽車(chē)信息安全問(wèn)題是新出現(xiàn)的問(wèn)題，尚無(wú)完善的解決方案。智能汽車(chē)的數(shù)據(jù)安全問(wèn)題是最近剛剛出現(xiàn)的，針對(duì)這樣的問(wèn)題，它的監(jiān)管手段、技術(shù)層面還都不完善，怎么去做還有待研究?！镀?chē)數(shù)據(jù)安全管理若干規(guī)定（征求意見(jiàn)稿）》規(guī)定的很細(xì)，當(dāng)然也還存在進(jìn)一步細(xì)化跟完善的空間。

從目前的情況來(lái)看，蔚來(lái)汽車(chē)的事件并沒(méi)有專(zhuān)門(mén)的法律可以遵循，對(duì)于受害車(chē)主如何賠償，基本上尺度由蔚來(lái)和車(chē)主的協(xié)商決定。而此次事件讓很多人氣憤車(chē)企胡亂收取用戶(hù)數(shù)據(jù)，但也正是因?yàn)闆](méi)有規(guī)矩，車(chē)企才敢把手伸這么長(zhǎng)。

后記

蔚來(lái)汽車(chē)作為造車(chē)新勢(shì)力中的代表，在用戶(hù)App功能設(shè)定方面處于行業(yè)領(lǐng)先的位置，也受到了車(chē)主和行業(yè)的好評(píng)。這也使得蔚來(lái)能夠獲取到更多維度的用戶(hù)數(shù)據(jù)，更容易被不法分子盯上。而如何保護(hù)好用戶(hù)數(shù)據(jù)以及更廣泛意義上的汽車(chē)數(shù)據(jù)，不是蔚來(lái)一家要面對(duì)的問(wèn)題，是全行業(yè)的問(wèn)題。