深途（shentucar）原創

　　作者 | 黎明

　　編輯 | 艾小佳

　　12月20日，蔚來汽車的信息安全負責人發了一個公告，說公司被人勒索了，對方聲稱搞到了蔚來內部數據，張口要225萬美元，比特幣支付。

　　勒索的郵件在9天前收到，蔚來調查后發現，對方是來真的：

　　被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

　　蔚來表態：堅決不會向網絡犯罪行為低頭。20日晚上，蔚來老板李斌出來道歉，說沒保護好用戶的信息安全，愿意承擔責任。他重申：不會與不法行為妥協。

　　與此同時，一張有人兜售蔚來數據的聊天截圖在網上流傳。這人宣稱破解了蔚來大量數據，給了蔚來兩次機會，但沒談攏，現在公開對外出售，只要1個比特幣（約12萬人民幣），就可以全部拿走。

　　稍微有點法律常識的人看到這里，就能明白這肯定是犯法了。這不僅侵犯了個人隱私，還構成敲詐勒索。

　　對方倒是顯得理直氣壯，說錯不在我，是因為蔚來不給錢，這才有償曝光。他認為蔚來有錯：

　　寧愿花費千萬請歌手，也不愿意買斷這部分數據來保護各位車主和用戶。

　　不愧是高智商犯罪。如果可以給這事再加一項罪名，那一定是綁架罪——道德綁架。

　　勒索者公開倒賣的截圖信息未得到蔚來官方確認，但也沒否認。不過數據泄漏，是板上釘釘了。

　　這應該是近兩年來汽車行業最嚴重的數據泄露事故之一。之前大家總擔心個人隱私泄露，因為一些手機APP動不動就違規收集個人信息，一不小心就“裸奔”。現在，智能汽車的車主們，可能也離“裸奔”不遠了。

　　泄露了哪些數據？

　　在官方通告里，蔚來沒說具體泄露了哪些數據。但網傳的賣數據的人（以下簡稱“勒索者”）把清單列的明明白白。

　　這些數據可以理解為一個超大數據包，內部又分成很多子集，但總體上可以分為兩大類：蔚來的公司數據，車主的個人數據。

　　公司數據主要包括以下這些：

1、蔚來內部員工數據22800條，包含總裁到一線員工，售價0.15比特幣；

2、蔚來注冊用戶數據4850000條，售價0.15比特幣；

3、企業及企業代表聯系人數據10000條，售價0.1比特幣；

4．、490000條訂單及90000條退單數據，售價0.15比特幣。

　　車主數據包括如下這些：

1、車主用戶身份證數據399000條，售價0.25比特幣；

2、用戶地址數據650000條，售價0.15比特幣；

3、車主親密關系數據360000條，售價0.2比特幣；

4、車主貸款數據170000條，售價0.1比特幣。

　　所以在這起數據泄露案中，蔚來車主和蔚來公司都是受害者。

　　首先受影響最大的肯定是車主。從身份證到地址，甚至貸款信息都泄露了，這都是黑灰產長期搜尋的對象，被泄露的車主以后很可能騷擾電話沒完沒了。

　　值得一提的是這里還有個“車主親密關系數據”，懂數據分析的人可以在這個數據基礎上挖掘車主的社會關系。比如“緊急聯系人”，騙子拿到這個數據就可以冒充你，給你親人發短信，說車撞了快打錢來。

　　蔚來公司也會受到影響，一些比較重要的數據泄露了。比如22800條內部員工數據，總裁到一線員工都包含在內了。這些數據對普通人可能沒啥價值，但對從事新能源招聘和獵頭工作的人來說非常值錢。

　　一位汽車獵頭對深途說，前些年很多獵頭會買數據，要不然就得一個個打電話去問，求著問公司組織架構。“花點錢其實能省很多事情，不過現在越來越少了。”

　　另外，蔚來注冊用戶數據、訂單及退單數據，可以用來分析蔚來潛在車主情況，總結退單原因，如果被競爭對手掌握將會比較被動。

　　勒索者提到，以上數據只是部分，因為數據較多，還有一些子業務數據沒有列出，全部數據打包價1個比特幣。

　　這個事情的性質是比較惡劣的。雖然個人數據泄露不是新鮮事，但新能源汽車行業的數據泄露卻是一個新課題。造車新勢力們一直標榜智能化，將數據視為核心資產之一，結果連基本的數據安全保護都做不到，不得不讓人憂心。

　　蔚來很重視。先是蔚來信息安全負責人代表蔚來出來發通告，然后李斌專門出來道歉，第二天蔚來又在港交所發布通告。由此可見一斑。

　　這些數據還能干啥？

　　數據泄露后，車主最關心的問題是，自己會受到什么影響？

　　除了可能會被黑灰產盯上，這些數據還能被拿來干啥？比如，會不會車子直接被遠程開走了？又或者，有一天突然剎車踩不動？

　　大家的擔心不是空穴來風。因為既然數據能被泄露，那說明蔚來的數據保護是存在漏洞的。有漏洞就有被入侵的風險。

　　早在五年前就發生過黑客偷車的事件。當時偷車賊盯上了斯巴魯汽車的數字鑰匙系統，制作了一個能收集無線電信號的簡單設備，計算出下一個滾動代碼，然后將類似的無線電信號發送回目標汽車，就把斯巴魯汽車的遙控鑰匙系統給破解了。

　　破解之后能干嘛呢？簡單說就是，數字鑰匙能干的事，它都能干。比如解鎖車門、鳴笛、獲取車輛位置記錄信息等。而攻破漏洞的這套裝置，成本不到30美元。

　　當然，這五年里車企的技術取得了很大進步，很多漏洞被補上了。但這就像一場貓鼠游戲，總有人能發現新的漏洞。

　　即便強如特斯拉，也避免不了被“黑”。“紅衣教主”周鴻祎說，360就曾三次破解特斯拉云端的系統。2020年，特斯拉Model X的自動駕駛系統多次被黑客入侵。2021年，特斯拉因車內攝像頭記錄車內大部分空間信息陷入“隱私門”，其中的監控錄像就是一名黑客入侵特斯拉汽車后曝出來的。

　　理論上，只要聯網了，任何一家車企的系統都有被破解的可能。這其中的關鍵在于，黑客有沒有必要去干這個事，要考慮時間、成本、技術問題。

　　蔚來被盯上，一方面因為蔚來樹大招風，雖然現在理想和小鵬發展也很快，但若要論資排輩，以及比影響力，那還是得蔚來。尤其是在歐美市場，大家就認蔚來。另外，蔚來的品牌比較高端，車價對標BBA，車主大部分是中產或所謂的有錢人，這些人的信息更值錢。用一位業內人士對深途的說法：“更好賣。”

　　不要小瞧了一些看似無關緊要的個人信息，這些信息對一些黑灰產來說，簡直是富礦。

　　我們舉一個例子。高德地圖之前做過一個報告，僅統計了不同品牌汽車車主的行程軌跡，就得出了如下結論：奔馳用戶比較有錢，因為住別墅的比例較高；寶馬用戶喜歡購物，因為經常去步行街或購物中心；沃爾沃用戶愛好文藝，因為總是去劇場和名勝古跡；奧迪用戶多為體制內人員，因為他們的行蹤總是出現在政府機關。

　　搞清楚了這些人的用戶畫像，就可以打電話給他們做精準營銷。電話推銷員肯定會向奔馳車主推薦別墅，而不會冒充親人找奧迪車主要錢，尤其是那些常用地址是派出所的奧迪車主。

　　那么，如果你是一個蔚來車主，而且恰好還是在2021年8月之前提的車，你現在是不是有點慌？

　　先別慌。蔚來說事情還沒完全搞清楚，還在進一步調查數據泄露的原因和影響范圍。蔚來信息安全負責人在李斌道歉后特意補充了一句：本次事件不涉及車輛使用中產生的數據（如行車軌跡、座艙數據），也不影響車輛的駕乘或遠程控制。

　　不說具體泄露了啥，只說沒泄露啥，那說明沒泄露的這部分是關鍵數據。以蔚來的說法來看，對車主的影響應該還是有限的。以上提到的破解車輛、掌握你的行蹤，應該不會發生。

　　一位蔚來車主就很淡定，他對深途說：“泄露的這些數據，其實在中國商業環境下很多途徑也能拿到，只是把它們組合在了蔚來車主的場景下。”

　　誰來承擔責任？

　　還有一個非常關鍵的問題：蔚來的數據是如何泄露的？誰竊取了這些數據？

　　通常情況下有兩種可能，一是黑客攻擊，二是有內鬼。

　　目前已知的信息中，有人在公開賣蔚來泄露的數據，但無法判斷這份數據經過了幾道手。因為交易數據的人和竊取數據的人，有可能不是同一人。從勒索者的表述來看，黑客攻擊破解的可能性更大一些。

　　北京至普律師事務所合伙人李圣對深途說，竊取或者以其他方法非法獲取公民個人信息的，構成侵犯公民個人信息罪，判刑三年以下或拘役，情節特別嚴重的判刑三到七年，還會有罰金。另外，獲得數據的人向蔚來索要贖金，還構成了敲詐勒索罪。

　　勒索者既然敢公然兜售數據，肯定是熟知這其中利害的，所以在要錢時，指明只接收比特幣，因為比特幣不好追蹤。

　　那么有沒有可能是蔚來內部員工泄密呢？目前不能完全排除這種可能性。

　　互聯網行業歷史上發生的數據泄露事件，有不少就是出了內鬼，甚至里應外合打配合。

　　李圣律師說，如果違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，按照侵犯公民個人信息罪從重處罰。

　　內部泄密的情況發生，往往是因為公司內部的信息安全保護機制出了問題。

　　新能源汽車的數據存在向供應商、合作伙伴、集團其他業務等第三方共享、轉讓、委托處理數據的情況。比如自動駕駛，很多車企會跟第三方自動駕駛公司合作，就會涉及到數據的共享問題。大量敏感數據在多部門、組織之間頻繁交換和共享，擴大了數據暴露面。如果公司內部沒有完善的制度，數據泄露的風險是很大的。

　　車企掌握了大量用戶數據，因此更有責任做好風險防范。有自稱從事信息安全的人給李斌留言說，信息安全和工作效率天生就是相悖的，此次蔚來數據泄露事件，不能只歸罪于外，內因是根本，必須有內部問責機制。

　　蔚來公司的信息系統安全防護能力如何？這個很難評估。但有這樣一件小事，或許能部分說明問題。

　　今年4月，蔚來在公司內部發布了一項處理通報，公司某集群服務器的管理員張某，利用職務便利，偷偷用公司服務器算力資源進行以太坊挖礦，時間長達一年之久。直到被人投訴至公司風險管理部門，蔚來才發現這事。在調查中，張某對自己的違規行為供認不諱。

　　不論是黑客還是內鬼，能鉆漏洞的前提，是要有漏洞可鉆。

　　當然，在蔚來數據泄露這件事里，蔚來也是受害方。不僅數據丟了，品牌受損，還可能要對車主進行賠償。

　　李圣對深途介紹，如果信息泄露的車主因此產生了損失，蔚來不能證明自己沒有過錯，應當承擔損害賠償等侵權責任。具體的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定。損失或利益難以確定的，根據實際情況確定賠償數額。

　　在十天前收到勒索者的郵件時，蔚來有兩種選擇，一是交錢私了，二是不予理會。蔚來選擇了后者，而且態度強硬。

　　這十天里蔚來沒有公開此事，去年8月前提車的蔚來車主們，也不知道自己的信息已經被泄露了。直到有人把這些數據拿到網上去賣，蔚來才公開承認。

　　非法竊取數據、敲詐勒索的行為是必須堅決予以打擊的，但掌握著大量用戶數據的車企們，也應該承擔起保護數據安全的責任，這是企業的本分。希望車企不要再讓車主無故“裸奔”。

（聲明：本文僅代表作者觀點，不代表新浪網立場。）