被勒索的蔚来冤枉吗？

深途丨（ID：shentucar）

作者丨 黎明

图源丨图虫创意

12月20日，蔚来汽车的信息安全负责人发了一个公告，说公司被人勒索了，对方声称搞到了蔚来内部数据，张口要225万美元，比特币支付。

勒索的邮件在9天前收到，蔚来调查后发现，对方是来真的：被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

蔚来表态：坚决不会向网络犯罪行为低头。20日晚上，蔚来老板李斌出来道歉，说没保护好用户的信息安全，愿意承担责任。他重申：不会与不法行为妥协。

与此同时，一张有人兜售蔚来数据的聊天截图在网上流传。这人宣称破解了蔚来大量数据，给了蔚来两次机会，但没谈拢，现在公开对外出售，只要1个比特币（约12万人民币），就可以全部拿走。

稍微有点法律常识的人看到这里，就能明白这肯定是犯法了。这不仅侵犯了个人隐私，还构成敲诈勒索。

对方倒是显得理直气壮，说错不在我，是因为蔚来不给钱，这才有偿曝光。他认为蔚来有错：宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户。

不愧是高智商犯罪。如果可以给这事再加一项罪名，那一定是绑架罪——道德绑架。

勒索者公开倒卖的截图信息未得到蔚来官方确认，但也没否认。不过数据泄漏，是板上钉钉了。

这应该是近两年来汽车行业最严重的数据泄露事故之一。之前大家总担心个人隐私泄露，因为一些手机APP动不动就违规收集个人信息，一不小心就“裸奔”。现在，智能汽车的车主们，可能也离“裸奔”不远了。

泄露了哪些数据？

在官方通告里，蔚来没说具体泄露了哪些数据。但网传的卖数据的人（以下简称“勒索者”）把清单列的明明白白。

这些数据可以理解为一个超大数据包，内部又分成很多子集，但总体上可以分为两大类：蔚来的公司数据，车主的个人数据。

公司数据主要包括以下这些：

1、蔚来内部员工数据22800条，包含总裁到一线员工，售价0.15比特币；

2、蔚来注册用户数据4850000条，售价0.15比特币；

3、企业及企业代表联系人数据10000条，售价0.1比特币；

4.、490000条订单及90000条退单数据，售价0.15比特币。

车主数据包括如下这些：

1、车主用户身份证数据399000条，售价0.25比特币；

2、用户地址数据650000条，售价0.15比特币；

3、车主亲密关系数据360000条，售价0.2比特币；

4、车主贷款数据170000条，售价0.1比特币。

所以在这起数据泄露案中，蔚来车主和蔚来公司都是受害者。

首先受影响最大的肯定是车主。从身份证到地址，甚至贷款信息都泄露了，这都是黑灰产长期搜寻的对象，被泄露的车主以后很可能骚扰电话没完没了。

值得一提的是这里还有个“车主亲密关系数据”，懂数据分析的人可以在这个数据基础上挖掘车主的社会关系。比如“紧急联系人”，骗子拿到这个数据就可以冒充你，给你亲人发短信，说车撞了快打钱来。

蔚来公司也会受到影响，一些比较重要的数据泄露了。比如22800条内部员工数据，总裁到一线员工都包含在内了。这些数据对普通人可能没啥价值，但对从事新能源招聘和猎头工作的人来说非常值钱。

一位汽车猎头对深途说，前些年很多猎头会买数据，要不然就得一个个打电话去问，求着问公司组织架构。“花点钱其实能省很多事情，不过现在越来越少了。”

另外，蔚来注册用户数据、订单及退单数据，可以用来分析蔚来潜在车主情况，总结退单原因，如果被竞争对手掌握将会比较被动。

勒索者提到，以上数据只是部分，因为数据较多，还有一些子业务数据没有列出，全部数据打包价1个比特币。

这个事情的性质是比较恶劣的。虽然个人数据泄露不是新鲜事，但新能源汽车行业的数据泄露却是一个新课题。造车新势力们一直标榜智能化，将数据视为核心资产之一，结果连基本的数据安全保护都做不到，不得不让人忧心。

蔚来很重视。先是蔚来信息安全负责人代表蔚来出来发通告，然后李斌专门出来道歉，第二天蔚来又在港交所发布通告。由此可见一斑。

这些数据还能干啥？

数据泄露后，车主最关心的问题是，自己会受到什么影响？

除了可能会被黑灰产盯上，这些数据还能被拿来干啥？比如，会不会车子直接被远程开走了？又或者，有一天突然刹车踩不动？

大家的担心不是空穴来风。因为既然数据能被泄露，那说明蔚来的数据保护是存在漏洞的。有漏洞就有被入侵的风险。

早在五年前就发生过黑客偷车的事件。当时偷车贼盯上了斯巴鲁汽车的数字钥匙系统，制作了一个能收集无线电信号的简单设备，计算出下一个滚动代码，然后将类似的无线电信号发送回目标汽车，就把斯巴鲁汽车的遥控钥匙系统给破解了。

破解之后能干嘛呢？简单说就是，数字钥匙能干的事，它都能干。比如解锁车门、鸣笛、获取车辆位置记录信息等。而攻破漏洞的这套装置，成本不到30美元。

当然，这五年里车企的技术取得了很大进步，很多漏洞被补上了。但这就像一场猫鼠游戏，总有人能发现新的漏洞。

即便强如特斯拉，也避免不了被“黑”。“红衣教主”周鸿祎说，360就曾三次破解特斯拉云端的系统。2020年，特斯拉Model X的自动驾驶系统多次被黑客入侵。2021年，特斯拉因车内摄像头记录车内大部分空间信息陷入“隐私门”，其中的监控录像就是一名黑客入侵特斯拉汽车后曝出来的。

理论上，只要联网了，任何一家车企的系统都有被破解的可能。这其中的关键在于，黑客有没有必要去干这个事，要考虑时间、成本、技术问题。

蔚来被盯上，一方面因为蔚来树大招风，虽然现在理想和小鹏发展也很快，但若要论资排辈，以及比影响力，那还是得蔚来。尤其是在欧美市场，大家就认蔚来。另外，蔚来的品牌比较高端，车价对标BBA，车主大部分是中产或所谓的有钱人，这些人的信息更值钱。用一位业内人士对深途的说法：“更好卖。”

不要小瞧了一些看似无关紧要的个人信息，这些信息对一些黑灰产来说，简直是富矿。

我们举一个例子。高德地图之前做过一个报告，仅统计了不同品牌汽车车主的行程轨迹，就得出了如下结论：奔驰用户比较有钱，因为住别墅的比例较高；宝马用户喜欢购物，因为经常去步行街或购物中心；沃尔沃用户爱好文艺，因为总是去剧场和名胜古迹；奥迪用户多为体制内人员，因为他们的行踪总是出现在政府机关。

搞清楚了这些人的用户画像，就可以打电话给他们做精准营销。电话推销员肯定会向奔驰车主推荐别墅，而不会冒充亲人找奥迪车主要钱，尤其是那些常用地址是派出所的奥迪车主。

那么，如果你是一个蔚来车主，而且恰好还是在2021年8月之前提的车，你现在是不是有点慌？

先别慌。蔚来说事情还没完全搞清楚，还在进一步调查数据泄露的原因和影响范围。蔚来信息安全负责人在李斌道歉后特意补充了一句：本次事件不涉及车辆使用中产生的数据（如行车轨迹、座舱数据），也不影响车辆的驾乘或远程控制。

不说具体泄露了啥，只说没泄露啥，那说明没泄露的这部分是关键数据。以蔚来的说法来看，对车主的影响应该还是有限的。以上提到的破解车辆、掌握你的行踪，应该不会发生。

一位蔚来车主就很淡定，他对深途说：“泄露的这些数据，其实在中国商业环境下很多途径也能拿到，只是把它们组合在了蔚来车主的场景下。”

谁来承担责任？

还有一个非常关键的问题：蔚来的数据是如何泄露的？谁窃取了这些数据？

通常情况下有两种可能，一是黑客攻击，二是有内鬼。

目前已知的信息中，有人在公开卖蔚来泄露的数据，但无法判断这份数据经过了几道手。因为交易数据的人和窃取数据的人，有可能不是同一人。从勒索者的表述来看，黑客攻击破解的可能性更大一些。

北京至普律师事务所合伙人李圣对深途说，窃取或者以其他方法非法获取公民个人信息的，构成侵犯公民个人信息罪，判刑三年以下或拘役，情节特别严重的判刑三到七年，还会有罚金。另外，获得数据的人向蔚来索要赎金，还构成了敲诈勒索罪。

勒索者既然敢公然兜售数据，肯定是熟知这其中利害的，所以在要钱时，指明只接收比特币，因为比特币不好追踪。

那么有没有可能是蔚来内部员工泄密呢？目前不能完全排除这种可能性。

互联网行业历史上发生的数据泄露事件，有不少就是出了内鬼，甚至里应外合打配合。

李圣律师说，如果违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，按照侵犯公民个人信息罪从重处罚。

内部泄密的情况发生，往往是因为公司内部的信息安全保护机制出了问题。

新能源汽车的数据存在向供应商、合作伙伴、集团其他业务等第三方共享、转让、委托处理数据的情况。比如自动驾驶，很多车企会跟第三方自动驾驶公司合作，就会涉及到数据的共享问题。大量敏感数据在多部门、组织之间频繁交换和共享，扩大了数据暴露面。如果公司内部没有完善的制度，数据泄露的风险是很大的。

车企掌握了大量用户数据，因此更有责任做好风险防范。有自称从事信息安全的人给李斌留言说，信息安全和工作效率天生就是相悖的，此次蔚来数据泄露事件，不能只归罪于外，内因是根本，必须有内部问责机制。

找靠谱商机，关注创业邦视频号！