视焦点讯！李斌掏不出1500万？

蔚来摊上事儿了。

(资料图片)

12月20日，蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发布公告：

在这个月11日的时候，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（1568万元人民币）等额比特币。

创始人李斌随即发布道歉声明，称“绝不向不法行为妥协”。

很快，#蔚来用户数据遭窃取被勒索225万美元#、#李斌致歉#等词条冲上热搜，引起热议。

几天后的平安夜，即将迎来蔚来汽车的2022年度NIO Day，在蔚来的官方首页，吸睛的倒计时跳动着数字，此时此刻被推上风口浪尖的李斌，如坐针毡、如芒刺背、如鲠在喉，留给他的时间不多了。

被上了一课

事情经初步调查，蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

一时间网友炸了锅，有的人声讨蔚来不保护用户隐私安全，有的人表示网络安全事件频发，无奈却理解。

为了安抚用户情绪，20日晚间，创始人李斌在蔚来官方社区就用户数据泄露一事发文致歉。

李斌表示：“保护好用户信息安全是我们的责任，我们没有做好，向大家深表歉意，会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件，对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协，也请大家及时提供线索。”

可是据《Tech星球》报道，针对用户数据泄露一事，蔚来汽车客服人员表示，不会做出主动赔偿，但“对因本次事件给用户造成的损失承担责任。”

划一下重点：目前蔚来采取的做法是不主动、不负责，只有用户真的因为这件事造成了损失才会承担责任。

1500万人民币，蔚来不想花，李斌也不想花。那怎么办？只能报警了。可纸是包不住火的。

所以，据蔚来所说，12月11日那一天接到了“恐吓信”，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。可直到一周有余之后的20日，才向公众公开此事。

两处漏洞

数据到底是如何泄露的？是黑客攻击，还是员工泄露？此次事件疑点重重。

“快2023年了还能中勒索病毒，这IT得烂成啥样？”一网友如此评论，表示对于企业遇到黑客攻击事件不理解。

事实上，数据泄露时时刻刻发生。根据Identify Theft Research Center中心的数据显示，与2021年同期相比，2022年第一季度实际报告的数据泄露事件数量增加了14%，达到404起。

新能源车市场攻城容易守城难。根据乘联会最新数据显示，2022年1月到11月，蔚来汽车累计销量为106671台。相比去年同期，其销量上涨了31.8%。

然而，销量上涨背后，一些基础设施也许并未跟上，这才导致蔚来被上了一课。

如果是黑客所为，那么对方一定是掐好了时间点，特意选定的“良辰吉日”，因为12月24日，年度盛典NIO Day就要开始了。事情还在发酵，留给蔚来的时间不多了。

历史证明，已经有不少企业为数据泄露买单，而根源就在于IT系统的安全性太低。Identify Theft Research Center数据报告提到重要的一点，数据泄露事件大多数是由网络钓鱼和勒索软件攻击引发的，其他还包括恶意软件、凭证填充和不安全的云工具。

具体案例也很多，今年一家国外企业Beetle Eye就发生了一起重大数据泄露事故，由于AWS S3存储桶未进行任何加密且配置错误，泄露了大约700万人的敏感数据。

还有，微软在2020年公开了一起长达14年的数据泄露事故，期间2.5亿条客户服务和支持记录在网上泄露。公司表示，个人数据在存储之前已从记录中删除，但一些明文电子邮件和IP地址被暴露。最后，微软将其归因于内部数据库安全规则的错误配置。

还有一种可能，那就是内部管理对于数据安全的缺失，导致内部员工有意或无意泄露。

今年4月，蔚来在一份内部通知中表示，2021年9月1日风险管理部门收到相关投诉，声称一位员工利用职位之便，使用公司内部服务器进行了以太坊挖矿，时间长达一年以上。

蔚来强调，该行为已经违反法律，同时也对公司系统安全和业务信息安全产生了负面影响。该涉事员工已承认了自己的行为。

挖矿不仅占用CPU资源影响正常服务，还会产生大量的耗电。但蔚来在一年多的时间中都没有发现这一点，足以证明其内部管理存在漏洞。

即便有了“前车之鉴”，可似乎蔚来并没有怎么放在心上。截至「科技新知」发稿，蔚来依旧没有找到此次数据泄露的“罪魁祸首”。但可以肯定的是，无论何时，企业都不应将数据安全单纯地托付给任何一款工具，小到员工培训，大到公司的策略和管理，这些环节缺一不可。

然而，这件事情背后也映射出一个更为深刻的问题。根据网上流传的消息，黑客向蔚来喊话：“给了蔚来两次机会，但是宁愿花费千万请歌手，也不愿买断这部分数据。”这种重营销、轻技术的商业歪风，何时才能到头？

数据定义软件

有些损失是不可挽回的。

自开启交付至2021年7月，蔚来汽车共计交付12.55万辆汽车。超过12万车主的身份证、用户地址，甚至车主亲密关系、车主贷款数据等极为隐私的信息，都成为不法分子索要巨额钱财的筹码。

即使蔚来认栽赎回，然而电子数据是可复制的，或许这些信息早已散落在各个隐秘的角落。

虽然，卢龙称本次数据泄露并不影响车辆驾乘或远程控制，不涉及车辆使用中产生的数据（如行车轨迹、座舱数据）；也有分析人士表示，这次泄露的数据，大部分是存储在后端、数据库或者云端的个人数据，黑客如果选择攻击车辆本身，还是有一定的技术门槛，而汽车本身有车载的安全网关也会进行拦截。

但是，用户的不信任，就是一件一件小事聚沙成塔。蔚来此事，似乎又唤起了网友以及用户对于新能源汽车的种种担忧，更是重新挑起了新能源和燃油车两派拥护者之间的矛盾。

“如果数据安全都这么水，自动驾驶不是很危险？”“知道为啥买燃油车了吧，电车还是不成熟。”有网友如此评论。

都说软件能定义一切，因此这些年汽车赛道也刮起了“软件定义汽车”的风。现如今，软件+汽车还是一门好生意吗？

看好派认为，软件将在技术、产品、运营理念、组织架构等方面给汽车产业带来全面改变，例如这两年兴起的OTA，就是从软件的逻辑出发，能使用户从线上进行系统升级和更新。

想让软件发挥最大价值的前提就是收集海量数据，这些沉淀下来的数据，不仅仅是企业的资产，更是属于整个社会的共同资产。

一旦数据管理出现问题，小则影响用户隐私，大则威胁国家安全。因此，种种信号表明，野蛮生长的时期已经结束了，尤其是被软件定义的新能源汽车。

去年9月，工信部印发了《关于加强车联网网络安全和数据安全工作的通知》，在加强数据安全保护、健全安全标准体系等六方面提出17项具体要求。

今年4月，工信部联合公安部、交通运输部等五部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》，明确提出要对车辆网络安全状态进行监测，加强对车辆运行数据的分析挖掘。

可以预见的是，智能网联汽车在中国的数据管控力度，还会进一步加大。

至于蔚来，以及其他车企，无论乐意与否，都应该尽快摆脱未成年人的心态。在冲销量的同时，不要忘记对用户、社会多负责。

在软件定义一切的时代，人们想生活变得更智能，就得交出数据的管理、使用权。

去年9月，一位2020款理想ONE车主向媒体反应称，理想汽车车机更新时出现的“理想智能系统软件许可协议”，只给了同意选项，不同意协议甚至无法继续用车。

最隐私、最珍贵的东西被别人攥在手里，除了心里默念“但愿受伤的那个人不是我”之外，别无选择。可是，谁又能真的逃过？

标签： 数据安全 信息安全 网络安全