12月20日,蔚来首席信息安全科学家卢龙在蔚来官方app上发布公告称,有不法人士在网上出售蔚来相关数据。声明表示,蔚来公司于12月11日收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。蔚来表示,对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。与此同时,将协同有关执法部门]深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。蔚来有责任并有义务使用一切手段保护用户信息安全,事件发生后,我们对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。我们将汲取教训,加强技术力量,不断提升蔚来信息系统的安全防护能力,以充分保护用户信息安全。一张流传于网络的图片显示,有人宣称破解了蔚来大量数据,并明码标价出售:“近日,我们破解了蔚来大量数据,同时给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此决定有偿曝光。其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息,这些信息被明码标价进行出售。例如:1.蔚来内部员工数据22800条,包含总裁到一线员工,从事新能源招聘和猎头工作的可以关注,售价0.15比特币;2.车主用户身份证数据399000条,从事黑灰产的可以关注,售价0.25比特币;……8.车主亲密关系数据360000条,挖掘社会关系的可以关注,售价0.2比特币;9.车主贷款数据170000条,售价0.1比特币;对于蔚来公司内部数据被盗,引发热议。有用户认为,“公布信息安全事件的公司是有诚信,并且注重信息安全的公司。说明进行对于信息安全具备完整的事件分析,溯源,处置,与加固机制。”也有用户认为,“保护客户信息是蔚来的责任,关键为啥网上敲诈勒索了你们才公布这消息……(感觉包不住了)事情发生在去年,有点诚信危机啊!”还有用户表示,“泄漏了哪些信息,如何挽救,如何补偿?”这一事件对当下蓬勃发展的智能汽车、新能源汽车行业来说具有标杆性意义,网络安全、信息安全已经成为实实在在的经营风险。智能汽车和传统燃油车有着本质的区别。智能汽车搭载大量的传感器、摄像头和强大的处理器,本质上相当于移动的电脑或者机器人。与此同时,随着自动驾驶技术的不断进步,汽车的智能化进一步提升,更多的个人数据和环境数据被上传、储存,而这些数据对于汽车制造商、移动运营商、保险公司和其他服务提供者来说,具有巨大的价值。同理,此类信息一旦被不法分子窃取并贩卖,其危害也可想而知。另外,尽管近年来社会公众的隐私意识不断增强,但现实中大部分车主对智能汽车的信息安全是相对漠视的,甚至很多时候为了获得更加智能化的服务,主动或者被动将姓名、身份证、真实图像、电话语音数据、生活习惯信息、行驶轨迹等个人信息让渡给车企,供其在后台分析用于产品改良和体验优化。这也意味着,一旦制造商的数据库发生泄漏事件,其危害性有可能会超出外界想象。
针对用户数据泄露一事,蔚来汽车客服人员表示,不会做出主动赔偿,但“对因本次事件给用户造成的损失承担责任。”蔚来客服同时表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。