【财智头条】225万美元被勒索！蔚来员工客户数据被盗，网上明码标价

蔚来遭遇信息安全“事故”！

12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称，12月11日，公司收到一封声称拥有蔚来内部数据并泄露数据。 勒索等值比特币225万美元（约合人民币1570.5万元）。 公司收到勒索邮件后，当天成立专项调查组进行调查并作出回应，并第一时间向相关监管部门报告了事件。 经初步调查，被盗数据为2021年8月之前的部分用户基本信息和车辆销售信息。

当日深夜，针对用户数据泄露，蔚来创始人兼CEO李斌在蔚来官方社区表示：“对于发生这样的事情，我感到非常抱歉。我们有责任保护用户信息安全，我们没有做好，很抱歉，此次事件给用户造成的损失由本人承担，我们将配合相关部门对此次事件进行深入调查，调查到底与本次事件相关的窃取、交易数据等违法犯罪行为，我们对违法行为不妥协，请及时提供线索。

受此消息影响公司做比特币客户违法么，截至12月20日收盘，蔚来港股报86.35港元/股，跌幅4.95%，总市值1443亿港元。

用户基本信息和车辆销售信息泄露

近日，网上流传的一张图片显示，有人声称破解了大量蔚来数据并公开要价出售。 图片内容称公司做比特币客户违法么，泄露的数据包括22.8万条蔚来内部员工数据，从总裁到一线员工； 399万条车主用户ID数据、65万条用户地址数据等信息，勒索价格0.1-0.25个比特币不等。

它列出的数据涉及蔚来的运营和客户隐私，包括蔚来的员工数据、订单数据、用户和业务代表联系方式数据，以及车主的身份证、用户地址，甚至车主亲密关系、车主贷款数据等。 . 私人信息。

信息明码标价，价格以比特币为单位。 例如，22800条员工数据的价格为0.15个比特币； 39,900条车主身份证数据，价格为0.25个比特币； 所有数据均以 1 比特币的价格打包出售。

来源：网络

12月21日，蔚来在港交所发布公告称，2022年12月20日，公司获悉部分2021年8月之前的中国用户信息和车辆销售数据被第三方非法在线出售。 蔚来已就该事件在中国发表公开声明，提供专用热线电话和电子邮件地址来回答用户有关数据泄露的问题。

来源：蔚来公告

此外，蔚来承诺对因数据泄露事件给用户造成的损失承担责任。 蔚来对此次事件深表歉意，并正在尽一切可能支持其用户。 蔚来将继续配合相关政府部门调查此次事件，并采取必要措施控制潜在损失。 蔚来在此重申对保护用户数据安全和隐私的承诺。

针对用户数据泄露，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区表示，此次事件不涉及车辆使用过程中产生的数据（如行驶轨迹、座舱数据）。 , 并且不影响乘坐或远程控制车辆。

从目前来看，蔚来用户对此次数据泄露反应强烈。 某平台一位蔚来汽车用户表示，“这到底是怎么被盗的？得查清楚，信息安全有漏洞，肯定是个大问题，蔚来可以认真对待这件事，应该有应对措施。” “ ，我希望这件事能得到处理。

有媒体致电蔚来客服，其客服人员表示，不会对用户数据泄露事件进行主动赔偿，但会负责此次事件造成的损失。 蔚来客服也表示，如果近期遇到涉及蔚来的陌生电话，需要小心谨慎，切勿泄露个人信息。

据了解，这是今年蔚来遇到的第二起与信息安全和加密货币相关的事件。

蔚来在今年4月的内部通报中称，2021年9月，蔚来合规与风险管理部接到一名研发部员工的投诉，称其涉嫌不当使用公司服务器资源开采虚拟货币。 经查，该员工自2021年2月起，利用其集群服务器管理员职务，违规使用公司服务器计算资源，违规进行虚拟货币以太币数字挖矿业务，并从中获利。

处理通知书还称，该行为严重违反了蔚来汽车公司的规定，涉嫌触犯《刑法》第285条第二款非法控制计算机信息系统罪，对蔚来汽车造成了不良影响。公司计算机系统安全和商业信息安全。

车载数据安全事件频发

值得一提的是，随着汽车智能化进程加快，相关数据泄露事件频发，蔚来并不是唯一一家遇到类似麻烦的车企。

丰田在今年 10 月表示，它在 T-Connect 服务中发现了 296,019 条疑似泄露的客户信息。 泄露的内容包括客户电子邮件地址和客户号码。 受影响的客户自 2017 年 7 月起使用电子邮件。注册该服务网站的个人用户的地址。

对于信息泄露的原因，丰田汽车表示，从2017年12月至今年9月15日，开发T-Connect网站的承包商不小心上传了部分公开配置的源代码。

今年5月，通用汽车发表声明称，发现2022年4月11日至29日期间部分在线客户账户出现可疑登录，导致未经用户授权兑换客户奖励积分。 变成了礼品卡。 虽然通用汽车在发现问题后立即暂时关闭了该功能，但黑客还是通过在线移动应用程序获取了部分客户的个人信息，包括姓名、电子邮箱地址、邮寄地址、绑定账户名称、电话号码、兴趣点收藏夹、安吉星订阅套餐、头像、搜索记录等

“我们客户个人信息的安全对我们来说极其重要。我们正在迅速采取行动，继续保护我们的客户和他们的个人信息，”通用汽车发言人在一份声明中说。

2021年6月，大众汽车还表示，约330万大众和奥迪车主及潜在客户的个人信息被泄露，包括姓名、地址、手机号码、电子邮箱，以及部分驾照号码和车牌号码。 , 贷款号码等

大众汽车表示，这是由于其供应商在 2019 年 8 月至 2021 年 5 月期间将客户数据“未受保护”地留在了互联网上。

数字监管提升新能源汽车安全性

近年来，我国新能源汽车产业发展成效显着。 产销量连续七年位居世界第一，产品技术水平快速提升，产业生态体系逐步建立，配套环境不断完善。

但随着新能源汽车保有量的快速增长和老旧汽车保有量的不断增加，产品质量安全风险备受关注，部分企业质量保障体系仍需完善； 与此同时，网络安全、数据安全等新问题也出现了。 新能源汽车安全的内涵和外延也在发生变化。

统计数据显示，过去5年，黑客对智能汽车的攻击次数增长了20倍，其中近30%的攻击涉及车辆控制。 目前大部分车型的信息安全防护水平较低，车内相关联网部件和控制部件的防护可靠性不高，缺乏一定的安全策略，会导致信息泄露或篡改车内敏感信息，以及车辆行驶过程中的异常行为可能危及人的生命安全。

如何保障汽车安全有序运行和数据合规使用正成为社会关注的焦点。

日前，工信部、公安部印发《关于开展智能网联汽车进出道路通行试点工作的通知（征求意见稿）》，要求发展智能网联汽车在试点城市的有限公共道路区域配备自动驾驶功能的车辆。 对于道路交通试点，试点车企应具备汽车功能安全、预期功能安全、网络安全、数据安全、软件升级、风险与突发事件等安全保障能力。 配备智能网联汽车产品安全监测服务企业平台，对试点车辆安全状态进行监测，建立报告机制。

今年4月，工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合印发《关于进一步加强安全生产建设的指导意见》 《新能源汽车企业制度》（以下简称《意见》），明确提出要监测车辆网络安全状况，加强对车辆运行数据的分析挖掘。

在个人信息安全保护方面，《意见》明确提出，企业应当制定内部管理和操作规程，对个人信息实施分类管理，采取相应的加密、去标识化等安全技术措施，防止未经授权的访问和泄露。 、篡改或丢失个人信息。

今年12月，工信部印发《工业和信息化领域数据安全管理办法（试行）》（以下简称《办法》）的通知，明确了分类数据分级制度，制定工业和信息化领域数据分级制度。 分级分类、重要数据和核心数据识别、数据分级保护等标准规范，指导开展数据分级分类管理，制定行业重要数据和核心数据的具体目录，实行动态管理.

资料来源：中华人民共和国工业和信息化部

《办法》规定了数据全生命周期的安全管理制度，针对不同层次的数据制定了具体的数据收集、存储、使用、处理、传输、提供、公开等分级保护要求和操作规程； 对数据和核心数据，采用校验技术、加密技术等措施进行安全存储，实施数据容灾备份和存储介质安全管理，定期进行数据恢复测试。

华西证券认为，制定《办法》的目的是贯彻落实《网络安全法》、《数据安全法》、《个人信息保护法》和《中华人民共和国国家安全法》的规定，规范加强工业和信息领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人和组织的合法权益，维护国家安全和发展利益。