蔚来汽车在一个内外都颇为敏感的时间,发生了一件让它难以处理的用户信息泄漏事件。
12月20日,蔚来在社区发布的一则声明确认了2021年8月之前的部分用户基本信息和车辆销售信息等数据被窃取。
根据蔚来的声明,这家公司最早获悉这一情况是在12月11日,当天蔚来收到了一封外部邮件,发件人声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。按照当天比特币价格计算,约为130.47枚。
蔚来没有接受勒索者的条件,当天即成立专项小组进行调查,并第一时间想有关部门报告此事件。
12月20日,有人在网上出售蔚来相关数据,一张截图显示,被窃取的蔚来数据包括:蔚来内部员工数据22800条、车主用户身份证数据39.9万条、用户地址数据12.5万条、用户地址数据65万条、蔚来注册用户数据48.5万条、10000条企业及企业代表联系人数据和49万条订单与9万条退单数。另有12.5万条数据未知,不过从排列情况来看,也属于用户信息数据。
在声明中,蔚来声称将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。对于受到此次事件影响的用户,蔚来承诺对此次受到损失的用户承担责任。不过,蔚来尚无进一步声明说明如何证名损失以及承担何种责任。
12月24日是蔚来年度的用户日NIO Day,这家公司也一直以对用户的服务作为核心竞争力,而在今年NIO Day之前爆出的用户信息泄露事件,无疑在考验着李斌和这家公司。
蔚来不是第一家出现数据泄露的车企,在此之前,大众和丰田都遭遇过用户数据泄露。从这一系列数据泄露中也可以窥见个人数据泄露存在的风险。
2022 年 9 月 15 日,丰田发现 T-Connect 用户站点的某些源代码在 GitHub 平台发布,这些源代码包含了对数据服务器的访问密钥,而这些密钥用于访问存储在数据服务器上的电子邮件地址和客户管理号码。T-Connect是丰田的官方连接应用程序,主要功能是可以让丰田车主将自己的手机与车辆的信息娱乐系统连接,支持共享电话、音乐、导航、通知、驾驶数据、发送机状态和油耗等功能。
这些源代码可以让未经授权的第三方在2017年12月至2022年9月15日期间访问 近30万名丰田客户的详细信息。
丰田在声明中提醒,在此期间注册T-Connect的用户可能会暴露在欺诈活动中,包括诈骗。犯罪分子可能会利用电子邮件地址发送 "欺骗 "或 "钓鱼诈骗 "等垃圾电子邮件,如果用户点开这些邮件访问了电子邮件描述的地址,可能会遭遇诈骗。
2021年6月,6月,大众汽车在一则声明中透露,有将近330万名客户或潜在买家的数据遭泄露,具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码和贷款号码等。大众同样提醒遭遇数据泄露影响的客户要警惕网络钓鱼电子邮件或垃圾邮件。
一位不愿具名的网络安全专家认为,蔚来此次的数据泄露涉及面更广,既有用户的个人信息,包括身份证、家庭住址、联系方式,也有企业层面的信息,比如员工信息、企业联系人和订单、退单信息;对蔚来而言,这些数据遭窃,可能意味着蔚来的数据中心防护能力不足。
如果数据一经出售,在此次事件中受到影响的个人,很有可能会成为电信诈骗、刷单诈骗以及钓鱼诈骗的潜在对象。
一些蔚来车主对蔚来的数据保护能力存在困惑。其中一位车主告诉电厂,他曾因故向蔚来申请调取自己车辆的数据,而这些精确到毫秒级的数据在两天之内就被全部呈现。“蔚来保护数据的重视没有达到应有的高度,可能在管理权限、流程上都存在一些问题。”他说。
在蔚来收到勒索邮件到发表声明的这段期间,12月19日,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“意见”)公布,意见指出,要创新政府数据治理机制,并指导各方履行数据要素流通安全责任和义务。还要压实企业的数据治理责任,推动企业依法依规承担在数据采集汇聚、加工处理、流通交易、共享利用等各环节的相应责任。