被勒索的蔚来冤枉吗?

  深途(shentucar)原创

  作者黎明

  编辑艾小佳

  12 月 20 日,蔚来汽车的信息安全负责人发了一个公告,说公司被人勒索了,对方声称搞到了蔚来内部数据,张口要 225 万美元,比特币支付。

  勒索的邮件在 9 天前收到,蔚来调查后发现,对方是来真的:

  被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。

  蔚来表态:坚决不会向网络犯罪行为低头。20 日晚上,蔚来老板李斌出来道歉,说没保护好用户的信息安全,愿意承担责任。他重申:不会与不法行为妥协。

  与此同时,一张有人兜售蔚来数据的聊天截图在网上流传。这人宣称破解了蔚来大量数据,给了蔚来两次机会,但没谈拢,现在公开对外出售,只要 1 个比特币(约 12 万人民币),就可以全部拿走。

  稍微有点法律常识的人看到这里,就能明白这肯定是犯法了。这不仅侵犯了个人隐私,还构成敲诈勒索。

  对方倒是显得理直气壮,说错不在我,是因为蔚来不给钱,这才有偿曝光。他认为蔚来有错:

  宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户。

  不愧是高智商犯罪。如果可以给这事再加一项罪名,那一定是绑架罪——道德绑架。

  勒索者公开倒卖的截图信息未得到蔚来官方确认,但也没否认。不过数据泄漏,是板上钉钉了。

  这应该是近两年来汽车行业最严重的数据泄露事故之一。之前大家总担心个人隐私泄露,因为一些手机 APP 动不动就违规收集个人信息,一不小心就“裸奔”。现在,智能汽车的车主们,可能也离“裸奔”不远了。

  泄露了哪些数据?

  在官方通告里,蔚来没说具体泄露了哪些数据。但网传的卖数据的人(以下简称“勒索者”)把清单列的明明白白。

  这些数据可以理解为一个超大数据包,内部又分成很多子集,但总体上可以分为两大类:蔚来的公司数据,车主的个人数据。

  公司数据主要包括以下这些:

  1、蔚来内部员工数据 22800 条,包含总裁到一线员工,售价 0.15 比特币;

  2、蔚来注册用户数据 4850000 条,售价 0.15 比特币;

  3、企业及企业代表联系人数据 10000 条,售价 0.1 比特币;

  4.、490000 条订单及 90000 条退单数据,售价 0.15 比特币。

  车主数据包括如下这些:

  1、车主用户身份证数据 399000 条,售价 0.25 比特币;

  2、用户地址数据 650000 条,售价 0.15 比特币;

  3、车主亲密关系数据 360000 条,售价 0.2 比特币;

  4、车主贷款数据 170000 条,售价 0.1 比特币。

  所以在这起数据泄露案中,蔚来车主和蔚来公司都是受害者。

  首先受影响最大的肯定是车主。从身份证到地址,甚至贷款信息都泄露了,这都是黑灰产长期搜寻的对象,被泄露的车主以后很可能骚扰电话没完没了。

  值得一提的是这里还有个“车主亲密关系数据”,懂数据分析的人可以在这个数据基础上挖掘车主的社会关系。比如“紧急联系人”,骗子拿到这个数据就可以冒充你,给你亲人发短信,说车撞了快打钱来。

  蔚来公司也会受到影响,一些比较重要的数据泄露了。比如 22800 条内部员工数据,总裁到一线员工都包含在内了。这些数据对普通人可能没啥价值,但对从事新能源招聘和猎头工作的人来说非常值钱。

  一位汽车猎头对深途说,前些年很多猎头会买数据,要不然就得一个个打电话去问,求着问公司组织架构。“花点钱其实能省很多事情,不过现在越来越少了。”

  另外,蔚来注册用户数据、订单及退单数据,可以用来分析蔚来潜在车主情况,总结退单原因,如果被竞争对手掌握将会比较被动。

  勒索者提到,以上数据只是部分,因为数据较多,还有一些子业务数据没有列出,全部数据打包价 1 个比特币。

  这个事情的性质是比较恶劣的。虽然个人数据泄露不是新鲜事,但新能源汽车行业的数据泄露却是一个新课题。造车新势力们一直标榜智能化,将数据视为核心资产之一,结果连基本的数据安全保护都做不到,不得不让人忧心。

  蔚来很重视。先是蔚来信息安全负责人代表蔚来出来发通告,然后李斌专门出来道歉,第二天蔚来又在港交所发布通告。由此可见一斑。

  这些数据还能干啥?

  数据泄露后,车主最关心的问题是,自己会受到什么影响?

  除了可能会被黑灰产盯上,这些数据还能被拿来干啥?比如,会不会车子直接被远程开走了?又或者,有一天突然刹车踩不动?

  大家的担心不是空穴来风。因为既然数据能被泄露,那说明蔚来的数据保护是存在漏洞的。有漏洞就有被入侵的风险。

  早在五年前就发生过黑客偷车的事件。当时偷车贼盯上了斯巴鲁汽车的数字钥匙系统,制作了一个能收集无线电信号的简单设备,计算出下一个滚动代码,然后将类似的无线电信号发送回目标汽车,就把斯巴鲁汽车的遥控钥匙系统给破解了。

  破解之后能干嘛呢?简单说就是,数字钥匙能干的事,它都能干。比如解锁车门、鸣笛、获取车辆位置记录信息等。而攻破漏洞的这套装置,成本不到 30 美元。

  当然,这五年里车企的技术取得了很大进步,很多漏洞被补上了。但这就像一场猫鼠游戏,总有人能发现新的漏洞。

  即便强如特斯拉,也避免不了被“黑”。“红衣教主”周鸿祎说,360 就曾三次破解特斯拉云端的系统。2020 年,特斯拉 Model X 的自动驾驶系统多次被黑客入侵。2021 年,特斯拉因车内摄像头记录车内大部分空间信息陷入“隐私门”,其中的监控录像就是一名黑客入侵特斯拉汽车后曝出来的。

  理论上,只要联网了,任何一家车企的系统都有被破解的可能。这其中的关键在于,黑客有没有必要去干这个事,要考虑时间、成本、技术问题。

  蔚来被盯上,一方面因为蔚来树大招风,虽然现在理想和小鹏发展也很快,但若要论资排辈,以及比影响力,那还是得蔚来。尤其是在欧美市场,大家就认蔚来。另外,蔚来的品牌比较高端,车价对标 BBA,车主大部分是中产或所谓的有钱人,这些人的信息更值钱。用一位业内人士对深途的说法:“更好卖。”

  不要小瞧了一些看似无关紧要的个人信息,这些信息对一些黑灰产来说,简直是富矿。

  我们举一个例子。高德地图之前做过一个报告,仅统计了不同品牌汽车车主的行程轨迹,就得出了如下结论:奔驰用户比较有钱,因为住别墅的比例较高;宝马用户喜欢购物,因为经常去步行街或购物中心;沃尔沃用户爱好文艺,因为总是去剧场和名胜古迹;奥迪用户多为体制内人员,因为他们的行踪总是出现在政府机关。

  搞清楚了这些人的用户画像,就可以打电话给他们做精准营销。电话推销员肯定会向奔驰车主推荐别墅,而不会冒充亲人找奥迪车主要钱,尤其是那些常用地址是派出所的奥迪车主。

  那么,如果你是一个蔚来车主,而且恰好还是在 2021 年 8 月之前提的车,你现在是不是有点慌?

  先别慌。蔚来说事情还没完全搞清楚,还在进一步调查数据泄露的原因和影响范围。蔚来信息安全负责人在李斌道歉后特意补充了一句:本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。

  不说具体泄露了啥,只说没泄露啥,那说明没泄露的这部分是关键数据。以蔚来的说法来看,对车主的影响应该还是有限的。以上提到的破解车辆、掌握你的行踪,应该不会发生。

  一位蔚来车主就很淡定,他对深途说:“泄露的这些数据,其实在中国商业环境下很多途径也能拿到,只是把它们组合在了蔚来车主的场景下。”

  谁来承担责任?

  还有一个非常关键的问题:蔚来的数据是如何泄露的?谁窃取了这些数据?

  通常情况下有两种可能,一是黑客攻击,二是有内鬼。

  目前已知的信息中,有人在公开卖蔚来泄露的数据,但无法判断这份数据经过了几道手。因为交易数据的人和窃取数据的人,有可能不是同一人。从勒索者的表述来看,黑客攻击破解的可能性更大一些。

  北京至普律师事务所合伙人李圣对深途说,窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪,判刑三年以下或拘役,情节特别严重的判刑三到七年,还会有罚金。另外,获得数据的人向蔚来索要赎金,还构成了敲诈勒索罪。

  勒索者既然敢公然兜售数据,肯定是熟知这其中利害的,所以在要钱时,指明只接收比特币,因为比特币不好追踪。

  那么有没有可能是蔚来内部员工泄密呢?目前不能完全排除这种可能性。

  互联网行业历史上发生的数据泄露事件,有不少就是出了内鬼,甚至里应外合打配合。

  李圣律师说,如果违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,按照侵犯公民个人信息罪从重处罚。

  内部泄密的情况发生,往往是因为公司内部的信息安全保护机制出了问题。

  新能源汽车的数据存在向供应商、合作伙伴、集团其他业务等第三方共享、转让、委托处理数据的情况。比如自动驾驶,很多车企会跟第三方自动驾驶公司合作,就会涉及到数据的共享问题。大量敏感数据在多部门、组织之间频繁交换和共享,扩大了数据暴露面。如果公司内部没有完善的制度,数据泄露的风险是很大的。

  车企掌握了大量用户数据,因此更有责任做好风险防范。有自称从事信息安全的人给李斌留言说,信息安全和工作效率天生就是相悖的,此次蔚来数据泄露事件,不能只归罪于外,内因是根本,必须有内部问责机制。

  蔚来公司的信息系统安全防护能力如何?这个很难评估。但有这样一件小事,或许能部分说明问题。

  今年 4 月,蔚来在公司内部发布了一项处理通报,公司某集群服务器的管理员张某,利用职务便利,偷偷用公司服务器算力资源进行以太坊挖矿,时间长达一年之久。直到被人投诉至公司风险管理部门,蔚来才发现这事。在调查中,张某对自己的违规行为供认不讳。

  不论是黑客还是内鬼,能钻漏洞的前提,是要有漏洞可钻。

  当然,在蔚来数据泄露这件事里,蔚来也是受害方。不仅数据丢了,品牌受损,还可能要对车主进行赔偿。

  李圣对深途介绍,如果信息泄露的车主因此产生了损失,蔚来不能证明自己没有过错,应当承担损害赔偿等侵权责任。具体的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定。损失或利益难以确定的,根据实际情况确定赔偿数额。

  在十天前收到勒索者的邮件时,蔚来有两种选择,一是交钱私了,二是不予理会。蔚来选择了后者,而且态度强硬。

  这十天里蔚来没有公开此事,去年 8 月前提车的蔚来车主们,也不知道自己的信息已经被泄露了。直到有人把这些数据拿到网上去卖,蔚来才公开承认。

  非法窃取数据、敲诈勒索的行为是必须坚决予以打击的,但掌握着大量用户数据的车企们,也应该承担起保护数据安全的责任,这是企业的本分。希望车企不要再让车主无故“裸奔”。