敲警鐘！蔚來官宣數據被竊取 遭勒索225萬美元

12月20日，蔚來首席信息安全科學家、信息安全委員會負責人盧龍在蔚來官方社區發布公告稱，12月11日，公司收到外部郵件，聲稱擁有蔚來內部數據，并以泄露數據勒索225萬美元等額比特幣。

蔚來方面對此表示“不會作出主動賠償，但會因本次事件給用戶造成的損失承擔責任”。此次是蔚來年內第二期信息安全事件。近年來，智能汽車數據安全事件時有發生，引起市場高度關注。此次事件也再次為汽車數據安全敲響警鐘。

蔚來在聲明中表示，在收到勒索郵件后，公司當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件。經初步調查，被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

對此，蔚來表示，公司對于此次時間對用戶造成的影響深表歉意，并鄭重承諾，對因本次事件給用戶造成的損失承擔責任。

蔚來在聲明中補充說，竊取、買賣此類數據是違法犯罪行為，公司對此予以嚴厲譴責，也堅決不會向網絡犯罪行為低頭。公司將協同有關執法部門深入調查此次事件，并依法堅決打擊相關的數據竊取、買賣行為。

記者隨后與蔚來方面取得聯系，但公司方面并未作出進一步回應，僅表示以官方回應為準。但根據蔚來給出的客服熱線，記者試圖取得聯系，蔚來客服人員表示，針對用戶數據泄露一事，不會做出主動賠償，但對本次事件所造成的損失承擔責任。蔚來客服同時表示，如近期遇到涉及蔚來的陌生來電，需小心謹慎，勿透露個人信息。

據了解，這是今年以來蔚來汽車遇到的第二起與信息安全和加密貨幣相關的事件。蔚來在今年4月的一份內部通知中表示，2021年9月1日，蔚來風險管理部門收到相關投訴，投訴表明該公司的一位員工利用職位之便，使用公司內部服務器進行了以太坊挖礦，時間長達一年以上。

蔚來在內部通知中強調，該行為已經違反法律，同時也對公司系統安全和業務信息安全產生了負面影響。

實際上，智能網聯汽車數據量大面廣，相較于傳統的燃油汽車，智能網聯汽車通過在車外部署攝像頭、毫米波雷達、激光雷達等多個傳感器，以及車內 DMS 駕駛員監測系統、智能座艙 APP 應用等途徑，可收集到規模大、覆蓋面廣的車輛數據。

據國家工業信息安全發展研究中心副總工程師兼信息政策所所長黃鵬此前曾表示，一輛智能網聯汽車每天至少收集10TB的多維數據，即不僅包含駕乘人員的面部表情、動作、目光、聲音數據，還包括車輛地理位置、車內及車外環境數據、車聯網使用數據等。

對此大規模的數據，通常被實時發送、存儲到汽車廠商的數據服務器中，經分析后不僅被用于自身駕駛過程決策和人機交互等方面，還成為主機廠后續技術推進、產品改良、商業決策的重要基礎。

這些數據也被喻為“數據黑箱”，但同時這些數據也面臨遭到竊取和轉移風險。此前包括特斯拉在內的多家新能源車企均經歷過數據泄露事件。在今年1月初，柏林警方獲悉“特斯拉的所有車型都會對車輛環境進行永久性、不顯眼的視頻記錄，并將這些記錄導出”，這些記錄“永久存儲在特斯拉位于德國國外的荷蘭服務器上”。

民生證券認為，近期汽車數據安全事件頻發，均反映出當前智能汽車數據面臨較大的安全隱患，這些事件為業界敲響了數據安全警鐘，致使其對智能行車數據的安全、監管等問題關注度持續提升。

而且值得注意的是，主機廠對于數據的分析解釋話語權，有著明顯不平等地位。不同于傳統燃油車車主可通過車輛OBD接口讀取行車數據，具有智能駕駛功能的車輛行車數據屬于車企的保密性息，外界難以獲取。

民生證券業認為，新能源汽車廠商缺乏相應有關部門的監督管理，行車數據也面臨篡改、隱私泄露、不規范使用的風險，進而損害消費者個人隱私安全，更有甚者，行車數據包含大量地理信息，若車企泄露，將會威脅到國家安全。

以汽車故障為例，第三方公司需原始數據來判斷原因以進行車輛事故定責，但在監管部門介入缺失情況下，主機廠具備“運動員”和“裁判員”的雙重身份，即主機廠提供數據，并因外界可解讀性差具有更高的分析解釋話語權，這種不平等的地位使得公開數據真實性有待考量，車主的隱私信息也難以保障。