年底,李斌遇到了一件难事。
十天前,蔚来收到一封勒索邮件。黑客称,拥有蔚来内部数据,希望它支付225万美元等额比特币赎回。
蔚来创始人、董事长李斌没有付钱,称“不会妥协”。
12月20日,黑客表示,“给了两次机会,蔚来不愿意买断这部分数据来保护用户,决定有偿曝光。”
他在网上公开售卖信息。“蔚来内部员工数据2.28万条,包含总裁到一线员工,售价0.15比特币;车主用户身份证数据39.9万条,售价0.25比特币......”
20日当晚,李斌道歉,表示会“承担责任”。
信息泄露
数据泄露事件发生后,蔚来车主忧心忡忡,担心行驶中车辆被人控制,产生安全风险。
为了提供服务,蔚来收集了各类用户信息,大体可以分为基础信息、行驶信息等。
10月15日,该公司更新《蔚来汽车隐私政策》,详细说明了如何收集、使用、存储和共享用户个人信息。
假如你订购了一辆蔚来汽车,该公司会收集一系列基础信息,包括姓名、手机号码、证件号码、车辆信息、支付信息。针对家庭复购场景,蔚来还要额外收集结婚证、户口本等资料。
你提了车,坐上驾驶室后,更多信息传给公司。蔚来表示,会收集和使用“车内及车外摄像头影像资料”。理论上说,你在车里的一举一动,都是公司的数据。
该事件暴露出,蔚来没有很好地管理用户数据。该公司调查后发现,黑客窃取的信息为2021年8月前的部分用户基本信息和车辆销售信息。
就是说,此次泄露的,是用户基础信息,非行驶数据。
截至2021年8月,蔚来三款车,累计交付量达到131408辆。照此推算,即便不计当时已下单未提车的用户,涉及车主也可能以10万计。
蔚来首席信息安全科学家、信息安全委员会负责人卢龙也表示,此次信息泄露事件,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
卢龙履历丰富,曾任蚂蚁集团首席安全架构师,美国东北大学终身教授。
3个月前,他公开表示,当下智能汽车的个人信息保护和数据保护面临挑战。
比如智能汽车行驶时,为了保证行驶安全,会采集各类必要的交通数据。“在这样复杂的汽车使用场景下,保证个人信息安全的任务较为艰巨。”卢龙表示。
费用不明
这家千亿市值的车企,为了完成这项“艰巨”任务,投入了哪些资源?
该公司有设置“数据安全员”岗位,要求“识别企业数据安全风险,利用技术方案保护企业数据安全”。
蔚来还表示:“针对已收集的信息,我们可能会通过技术手段进行匿名化或去标识化处理后,再进行研究、训练、统计、分析。”
财报里,蔚来没有单独披露在“网络安全”上投入的费用。
有意思的是,2022年1月,蔚来声称,自己的网络安全管理系统(CSMS)拿到了欧盟法规认证,是中国第一家获得认证的公司。从后续泄露事件表明,蔚来内部网络安全存在漏洞。
汽车行业资深分析师梅松林认为,没有任何流程,可以完全保证数据不泄露,最重要的是,让违法获取的数据没有交易市场。“没有买卖,就没有杀害;没有交易,就没有泄露。”
黑客要求的赎金,折合人民币约1500万,蔚来拒绝交付。
它表示,不会向网络犯罪行为低头,将协助有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。
数据泄露事件或会影响车主对品牌的信任。
花40多万买车的蔚来用户,注重个人隐私安全。在蔚来社区,卢龙的声明,一天获得890条评论。
年关难过
2022年前11月,蔚来交付了10.7万辆汽车,距离15万辆年度目标仍有较大差距。最后一个月,即使没有数据泄露事件,该公司也大概率无法完成目标。
销量没有突破,亏损额也创纪录。财报显示,蔚来三季度的净亏损为41.1亿元,同比增亏392.1%,环比增亏49.1%。
李斌解释称,蔚来研发投入比较大,主要在芯片、手机、子品牌、电池领域,每个季度的研发投入在30亿元以上。
原材料涨价,又少了几十亿元的毛利,他希望,多卖车分摊研发成本。
为了提高销量,蔚来推出售价更低的新品牌“阿尔卑斯”,定价在20万元到30万元之间,预计2024年量产。最新发布的ET5,价格下探到33万元。
此外,蔚来出海速度加快,今年进入到德国、荷兰、丹麦、瑞典等海外市场,欧洲本地化销售和服务团队人数已超过720人。
蔚来希望卖出更多车辆,李斌更是立下“2030年成为世界前五大汽车制造商之一”的目标。
信息安全事件,给立下大志向的李斌浇了一盆冷水。
梅松林认为,随着汽车数字化转型,“用户数据安全保护,将变得日益重要。”获取了海量数据的蔚来们,只有充分保护信息安全,才能拥有更多用户。
蔚来的2022年划上一个不光彩的句号。