文｜深途 黎明

編輯 | 艾小佳

12月20日，蔚來(lái)汽車(chē)的信息安全負(fù)責(zé)人發(fā)了一個(gè)公告，說(shuō)公司被人勒索了，對(duì)方聲稱(chēng)搞到了蔚來(lái)內(nèi)部數(shù)據(jù)，張口要225萬(wàn)美元，比特幣支付。

勒索的郵件在9天前收到，蔚來(lái)調(diào)查后發(fā)現(xiàn)，對(duì)方是來(lái)真的：

被竊取數(shù)據(jù)為2021年8月之前的部分用戶(hù)基本信息和車(chē)輛銷(xiāo)售信息。

蔚來(lái)表態(tài)：堅(jiān)決不會(huì)向網(wǎng)絡(luò)犯罪行為低頭。20日晚上，蔚來(lái)老板李斌出來(lái)道歉，說(shuō)沒(méi)保護(hù)好用戶(hù)的信息安全，愿意承擔(dān)責(zé)任。他重申：不會(huì)與不法行為妥協(xié)。

與此同時(shí)，一張有人兜售蔚來(lái)數(shù)據(jù)的聊天截圖在網(wǎng)上流傳。這人宣稱(chēng)破解了蔚來(lái)大量數(shù)據(jù)，給了蔚來(lái)兩次機(jī)會(huì)，但沒(méi)談攏，現(xiàn)在公開(kāi)對(duì)外出售，只要1個(gè)比特幣（約12萬(wàn)人民幣），就可以全部拿走。

稍微有點(diǎn)法律常識(shí)的人看到這里，就能明白這肯定是犯法了。這不僅侵犯了個(gè)人隱私，還構(gòu)成敲詐勒索。

對(duì)方倒是顯得理直氣壯，說(shuō)錯(cuò)不在我，是因?yàn)槲祦?lái)不給錢(qián)，這才有償曝光。他認(rèn)為蔚來(lái)有錯(cuò)：

寧愿花費(fèi)千萬(wàn)請(qǐng)歌手，也不愿意買(mǎi)斷這部分?jǐn)?shù)據(jù)來(lái)保護(hù)各位車(chē)主和用戶(hù)。

不愧是高智商犯罪。如果可以給這事再加一項(xiàng)罪名，那一定是綁架罪——道德綁架。

勒索者公開(kāi)倒賣(mài)的截圖信息未得到蔚來(lái)官方確認(rèn)，但也沒(méi)否認(rèn)。不過(guò)數(shù)據(jù)泄漏，是板上釘釘了。

這應(yīng)該是近兩年來(lái)汽車(chē)行業(yè)最嚴(yán)重的數(shù)據(jù)泄露事故之一。之前大家總擔(dān)心個(gè)人隱私泄露，因?yàn)橐恍┦謾C(jī)APP動(dòng)不動(dòng)就違規(guī)收集個(gè)人信息，一不小心就“裸奔”?，F(xiàn)在，智能汽車(chē)的車(chē)主們，可能也離“裸奔”不遠(yuǎn)了。

泄露了哪些數(shù)據(jù)？

在官方通告里，蔚來(lái)沒(méi)說(shuō)具體泄露了哪些數(shù)據(jù)。但網(wǎng)傳的賣(mài)數(shù)據(jù)的人（以下簡(jiǎn)稱(chēng)“勒索者”）把清單列的明明白白。

這些數(shù)據(jù)可以理解為一個(gè)超大數(shù)據(jù)包，內(nèi)部又分成很多子集，但總體上可以分為兩大類(lèi)：蔚來(lái)的公司數(shù)據(jù)，車(chē)主的個(gè)人數(shù)據(jù)。

公司數(shù)據(jù)主要包括以下這些：

1、蔚來(lái)內(nèi)部員工數(shù)據(jù)22800條，包含總裁到一線員工，售價(jià)0.15比特幣；

2、蔚來(lái)注冊(cè)用戶(hù)數(shù)據(jù)4850000條，售價(jià)0.15比特幣；

3、企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù)10000條，售價(jià)0.1比特幣；

4.、490000條訂單及90000條退單數(shù)據(jù)，售價(jià)0.15比特幣。

車(chē)主數(shù)據(jù)包括如下這些：

1、車(chē)主用戶(hù)身份證數(shù)據(jù)399000條，售價(jià)0.25比特幣；

2、用戶(hù)地址數(shù)據(jù)650000條，售價(jià)0.15比特幣；

3、車(chē)主親密關(guān)系數(shù)據(jù)360000條，售價(jià)0.2比特幣；

4、車(chē)主貸款數(shù)據(jù)170000條，售價(jià)0.1比特幣。

所以在這起數(shù)據(jù)泄露案中，蔚來(lái)車(chē)主和蔚來(lái)公司都是受害者。

首先受影響最大的肯定是車(chē)主。從身份證到地址，甚至貸款信息都泄露了，這都是黑灰產(chǎn)長(zhǎng)期搜尋的對(duì)象，被泄露的車(chē)主以后很可能騷擾電話沒(méi)完沒(méi)了。

值得一提的是這里還有個(gè)“車(chē)主親密關(guān)系數(shù)據(jù)”，懂?dāng)?shù)據(jù)分析的人可以在這個(gè)數(shù)據(jù)基礎(chǔ)上挖掘車(chē)主的社會(huì)關(guān)系。比如“緊急聯(lián)系人”，騙子拿到這個(gè)數(shù)據(jù)就可以冒充你，給你親人發(fā)短信，說(shuō)車(chē)撞了快打錢(qián)來(lái)。

蔚來(lái)公司也會(huì)受到影響，一些比較重要的數(shù)據(jù)泄露了。比如22800條內(nèi)部員工數(shù)據(jù)，總裁到一線員工都包含在內(nèi)了。這些數(shù)據(jù)對(duì)普通人可能沒(méi)啥價(jià)值，但對(duì)從事新能源招聘和獵頭工作的人來(lái)說(shuō)非常值錢(qián)。

一位汽車(chē)獵頭對(duì)深途說(shuō)，前些年很多獵頭會(huì)買(mǎi)數(shù)據(jù)，要不然就得一個(gè)個(gè)打電話去問(wèn)，求著問(wèn)公司組織架構(gòu)?！盎c(diǎn)錢(qián)其實(shí)能省很多事情，不過(guò)現(xiàn)在越來(lái)越少了?！?/p>

另外，蔚來(lái)注冊(cè)用戶(hù)數(shù)據(jù)、訂單及退單數(shù)據(jù)，可以用來(lái)分析蔚來(lái)潛在車(chē)主情況，總結(jié)退單原因，如果被競(jìng)爭(zhēng)對(duì)手掌握將會(huì)比較被動(dòng)。

勒索者提到，以上數(shù)據(jù)只是部分，因?yàn)閿?shù)據(jù)較多，還有一些子業(yè)務(wù)數(shù)據(jù)沒(méi)有列出，全部數(shù)據(jù)打包價(jià)1個(gè)比特幣。

這個(gè)事情的性質(zhì)是比較惡劣的。雖然個(gè)人數(shù)據(jù)泄露不是新鮮事，但新能源汽車(chē)行業(yè)的數(shù)據(jù)泄露卻是一個(gè)新課題。造車(chē)新勢(shì)力們一直標(biāo)榜智能化，將數(shù)據(jù)視為核心資產(chǎn)之一，結(jié)果連基本的數(shù)據(jù)安全保護(hù)都做不到，不得不讓人憂(yōu)心。

蔚來(lái)很重視。先是蔚來(lái)信息安全負(fù)責(zé)人代表蔚來(lái)出來(lái)發(fā)通告，然后李斌專(zhuān)門(mén)出來(lái)道歉，第二天蔚來(lái)又在港交所發(fā)布通告。由此可見(jiàn)一斑。

這些數(shù)據(jù)還能干啥？

數(shù)據(jù)泄露后，車(chē)主最關(guān)心的問(wèn)題是，自己會(huì)受到什么影響？

除了可能會(huì)被黑灰產(chǎn)盯上，這些數(shù)據(jù)還能被拿來(lái)干啥？比如，會(huì)不會(huì)車(chē)子直接被遠(yuǎn)程開(kāi)走了？又或者，有一天突然剎車(chē)踩不動(dòng)？

大家的擔(dān)心不是空穴來(lái)風(fēng)。因?yàn)榧热粩?shù)據(jù)能被泄露，那說(shuō)明蔚來(lái)的數(shù)據(jù)保護(hù)是存在漏洞的。有漏洞就有被入侵的風(fēng)險(xiǎn)。

早在五年前就發(fā)生過(guò)黑客偷車(chē)的事件。當(dāng)時(shí)偷車(chē)賊盯上了斯巴魯汽車(chē)的數(shù)字鑰匙系統(tǒng)，制作了一個(gè)能收集無(wú)線電信號(hào)的簡(jiǎn)單設(shè)備，計(jì)算出下一個(gè)滾動(dòng)代碼，然后將類(lèi)似的無(wú)線電信號(hào)發(fā)送回目標(biāo)汽車(chē)，就把斯巴魯汽車(chē)的遙控鑰匙系統(tǒng)給破解了。

破解之后能干嘛呢？簡(jiǎn)單說(shuō)就是，數(shù)字鑰匙能干的事，它都能干。比如解鎖車(chē)門(mén)、鳴笛、獲取車(chē)輛位置記錄信息等。而攻破漏洞的這套裝置，成本不到30美元。

當(dāng)然，這五年里車(chē)企的技術(shù)取得了很大進(jìn)步，很多漏洞被補(bǔ)上了。但這就像一場(chǎng)貓鼠游戲，總有人能發(fā)現(xiàn)新的漏洞。

即便強(qiáng)如特斯拉，也避免不了被“黑”?！凹t衣教主”周鴻祎說(shuō)，360就曾三次破解特斯拉云端的系統(tǒng)。2020年，特斯拉Model X的自動(dòng)駕駛系統(tǒng)多次被黑客入侵。2021年，特斯拉因車(chē)內(nèi)攝像頭記錄車(chē)內(nèi)大部分空間信息陷入“隱私門(mén)”，其中的監(jiān)控錄像就是一名黑客入侵特斯拉汽車(chē)后曝出來(lái)的。

理論上，只要聯(lián)網(wǎng)了，任何一家車(chē)企的系統(tǒng)都有被破解的可能。這其中的關(guān)鍵在于，黑客有沒(méi)有必要去干這個(gè)事，要考慮時(shí)間、成本、技術(shù)問(wèn)題。

蔚來(lái)被盯上，一方面因?yàn)槲祦?lái)樹(shù)大招風(fēng)，雖然現(xiàn)在理想和小鵬發(fā)展也很快，但若要論資排輩，以及比影響力，那還是得蔚來(lái)。尤其是在歐美市場(chǎng)，大家就認(rèn)蔚來(lái)。另外，蔚來(lái)的品牌比較高端，車(chē)價(jià)對(duì)標(biāo)BBA，車(chē)主大部分是中產(chǎn)或所謂的有錢(qián)人，這些人的信息更值錢(qián)。用一位業(yè)內(nèi)人士對(duì)深途的說(shuō)法：“更好賣(mài)?！?/p>

不要小瞧了一些看似無(wú)關(guān)緊要的個(gè)人信息，這些信息對(duì)一些黑灰產(chǎn)來(lái)說(shuō)，簡(jiǎn)直是富礦。

我們舉一個(gè)例子。高德地圖之前做過(guò)一個(gè)報(bào)告，僅統(tǒng)計(jì)了不同品牌汽車(chē)車(chē)主的行程軌跡，就得出了如下結(jié)論：奔馳用戶(hù)比較有錢(qián)，因?yàn)樽e墅的比例較高；寶馬用戶(hù)喜歡購(gòu)物，因?yàn)榻?jīng)常去步行街或購(gòu)物中心；沃爾沃用戶(hù)愛(ài)好文藝，因?yàn)榭偸侨?chǎng)和名勝古跡；奧迪用戶(hù)多為體制內(nèi)人員，因?yàn)樗麄兊男雄櫩偸浅霈F(xiàn)在政府機(jī)關(guān)。

搞清楚了這些人的用戶(hù)畫(huà)像，就可以打電話給他們做精準(zhǔn)營(yíng)銷(xiāo)。電話推銷(xiāo)員肯定會(huì)向奔馳車(chē)主推薦別墅，而不會(huì)冒充親人找?jiàn)W迪車(chē)主要錢(qián)，尤其是那些常用地址是派出所的奧迪車(chē)主。

那么，如果你是一個(gè)蔚來(lái)車(chē)主，而且恰好還是在2021年8月之前提的車(chē)，你現(xiàn)在是不是有點(diǎn)慌？

先別慌。蔚來(lái)說(shuō)事情還沒(méi)完全搞清楚，還在進(jìn)一步調(diào)查數(shù)據(jù)泄露的原因和影響范圍。蔚來(lái)信息安全負(fù)責(zé)人在李斌道歉后特意補(bǔ)充了一句：本次事件不涉及車(chē)輛使用中產(chǎn)生的數(shù)據(jù)（如行車(chē)軌跡、座艙數(shù)據(jù)），也不影響車(chē)輛的駕乘或遠(yuǎn)程控制。

不說(shuō)具體泄露了啥，只說(shuō)沒(méi)泄露啥，那說(shuō)明沒(méi)泄露的這部分是關(guān)鍵數(shù)據(jù)。以蔚來(lái)的說(shuō)法來(lái)看，對(duì)車(chē)主的影響應(yīng)該還是有限的。以上提到的破解車(chē)輛、掌握你的行蹤，應(yīng)該不會(huì)發(fā)生。

一位蔚來(lái)車(chē)主就很淡定，他對(duì)深途說(shuō)：“泄露的這些數(shù)據(jù)，其實(shí)在中國(guó)商業(yè)環(huán)境下很多途徑也能拿到，只是把它們組合在了蔚來(lái)車(chē)主的場(chǎng)景下?！?/p>

誰(shuí)來(lái)承擔(dān)責(zé)任？

還有一個(gè)非常關(guān)鍵的問(wèn)題：蔚來(lái)的數(shù)據(jù)是如何泄露的？誰(shuí)竊取了這些數(shù)據(jù)？

通常情況下有兩種可能，一是黑客攻擊，二是有內(nèi)鬼。

目前已知的信息中，有人在公開(kāi)賣(mài)蔚來(lái)泄露的數(shù)據(jù)，但無(wú)法判斷這份數(shù)據(jù)經(jīng)過(guò)了幾道手。因?yàn)榻灰讛?shù)據(jù)的人和竊取數(shù)據(jù)的人，有可能不是同一人。從勒索者的表述來(lái)看，黑客攻擊破解的可能性更大一些。

北京至普律師事務(wù)所合伙人李圣對(duì)深途說(shuō)，竊取或者以其他方法非法獲取公民個(gè)人信息的，構(gòu)成侵犯公民個(gè)人信息罪，判刑三年以下或拘役，情節(jié)特別嚴(yán)重的判刑三到七年，還會(huì)有罰金。另外，獲得數(shù)據(jù)的人向蔚來(lái)索要贖金，還構(gòu)成了敲詐勒索罪。

勒索者既然敢公然兜售數(shù)據(jù)，肯定是熟知這其中利害的，所以在要錢(qián)時(shí)，指明只接收比特幣，因?yàn)楸忍貛挪缓米粉櫋?/p>

那么有沒(méi)有可能是蔚來(lái)內(nèi)部員工泄密呢？目前不能完全排除這種可能性。

互聯(lián)網(wǎng)行業(yè)歷史上發(fā)生的數(shù)據(jù)泄露事件，有不少就是出了內(nèi)鬼，甚至里應(yīng)外合打配合。

李圣律師說(shuō)，如果違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者提供給他人的，按照侵犯公民個(gè)人信息罪從重處罰。

內(nèi)部泄密的情況發(fā)生，往往是因?yàn)楣緝?nèi)部的信息安全保護(hù)機(jī)制出了問(wèn)題。

新能源汽車(chē)的數(shù)據(jù)存在向供應(yīng)商、合作伙伴、集團(tuán)其他業(yè)務(wù)等第三方共享、轉(zhuǎn)讓、委托處理數(shù)據(jù)的情況。比如自動(dòng)駕駛，很多車(chē)企會(huì)跟第三方自動(dòng)駕駛公司合作，就會(huì)涉及到數(shù)據(jù)的共享問(wèn)題。大量敏感數(shù)據(jù)在多部門(mén)、組織之間頻繁交換和共享，擴(kuò)大了數(shù)據(jù)暴露面。如果公司內(nèi)部沒(méi)有完善的制度，數(shù)據(jù)泄露的風(fēng)險(xiǎn)是很大的。

車(chē)企掌握了大量用戶(hù)數(shù)據(jù)，因此更有責(zé)任做好風(fēng)險(xiǎn)防范。有自稱(chēng)從事信息安全的人給李斌留言說(shuō)，信息安全和工作效率天生就是相悖的，此次蔚來(lái)數(shù)據(jù)泄露事件，不能只歸罪于外，內(nèi)因是根本，必須有內(nèi)部問(wèn)責(zé)機(jī)制。

蔚來(lái)公司的信息系統(tǒng)安全防護(hù)能力如何？這個(gè)很難評(píng)估。但有這樣一件小事，或許能部分說(shuō)明問(wèn)題。

今年4月，蔚來(lái)在公司內(nèi)部發(fā)布了一項(xiàng)處理通報(bào)，公司某集群服務(wù)器的管理員張某，利用職務(wù)便利，偷偷用公司服務(wù)器算力資源進(jìn)行以太坊挖礦，時(shí)間長(zhǎng)達(dá)一年之久。直到被人投訴至公司風(fēng)險(xiǎn)管理部門(mén)，蔚來(lái)才發(fā)現(xiàn)這事。在調(diào)查中，張某對(duì)自己的違規(guī)行為供認(rèn)不諱。

不論是黑客還是內(nèi)鬼，能鉆漏洞的前提，是要有漏洞可鉆。

當(dāng)然，在蔚來(lái)數(shù)據(jù)泄露這件事里，蔚來(lái)也是受害方。不僅數(shù)據(jù)丟了，品牌受損，還可能要對(duì)車(chē)主進(jìn)行賠償。

李圣對(duì)深途介紹，如果信息泄露的車(chē)主因此產(chǎn)生了損失，蔚來(lái)不能證明自己沒(méi)有過(guò)錯(cuò)，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。具體的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定。損失或利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。

在十天前收到勒索者的郵件時(shí)，蔚來(lái)有兩種選擇，一是交錢(qián)私了，二是不予理會(huì)。蔚來(lái)選擇了后者，而且態(tài)度強(qiáng)硬。

這十天里蔚來(lái)沒(méi)有公開(kāi)此事，去年8月前提車(chē)的蔚來(lái)車(chē)主們，也不知道自己的信息已經(jīng)被泄露了。直到有人把這些數(shù)據(jù)拿到網(wǎng)上去賣(mài)，蔚來(lái)才公開(kāi)承認(rèn)。

非法竊取數(shù)據(jù)、敲詐勒索的行為是必須堅(jiān)決予以打擊的，但掌握著大量用戶(hù)數(shù)據(jù)的車(chē)企們，也應(yīng)該承擔(dān)起保護(hù)數(shù)據(jù)安全的責(zé)任，這是企業(yè)的本分。希望車(chē)企不要再讓車(chē)主無(wú)故“裸奔”。