蔚来数据泄露被黑客勒索250万美元

日前，蔚来公司发表声明，就数据泄露事件道歉，并被勒索250万美元。 其表示，12月11日收到一封外部勒索邮件，黑客声称拥有蔚来内部数据，并索要250万美元。 初步调查，泄露的数据是2021年8月之前的一些用户基本信息和车辆销售信息，但蔚来绝不妥协，将追究到底，目前还在调查中。

蔚来董事长李斌在蔚来官方社区致歉。 蔚来信息安全委员会负责人卢龙表示，不涉及车辆使用过程中产生的数据（如行驶轨迹、座舱数据），不影响车辆的行驶或远程控制。 蔚来官方在港交所发布公告承诺，将对因数据泄露给用户造成的损失负责。

活动回顾

12月20日下午，有用户在蔚来APP上发文“揭露蔚来虚伪，惩戒蔚来，保护用户”，称其团队近期破解了蔚来大量数据。 失败时，蔚来不愿买断数据。 “我宁愿花几千万请歌手，也不愿买断数据来保护车主和用户。” 因此，它决定为曝光买单，放出部分样本数据截图，并列出要价。

据该用户称，他获得了蔚来内部员工数据2.28万条（涵盖从总裁到一线员工）、车主身份证数据39.9万条、车主数据12.5万条、用户地址数据65万条、蔚来注册用户485万1条。数据、企业及业务代表联系方式数据1万条、订单数据49万条、退单数据9万条、车主亲密关系数据36万条、车主贷款数据17万条。 0.1-0.25个比特币，所有数据以1个比特币打包出售。

随后，12月20日16:00左右，蔚来首席信息安全科学家、信息安全委员会负责人卢龙发整理了蔚来官方《关于数据安全事件的声明》，对黑客兜售数据进行了说明，“2022年3月11月11日，蔚来收到一封声称拥有蔚来内部数据的外部邮件，并利用泄露的数据勒索了价值225万美元的比特币。

11日收到勒索邮件后，成立专案组调查，并第一时间向监管部门反映。 经官方初步调查，被盗数据为2021年8月之前的一些用户基本信息和车辆销售信息。

蔚来向用户表示深深的歉意，并承诺对此次事件给用户造成的损失承担责任，并严厉谴责这一违法犯罪行为，坚决不向网络犯罪低头，并将与执法部门进行深入调查。

声明之下，蔚来董事长李斌也发表评论，表达了深深的歉意。 对于盗卖，他不会妥协，会追究到底，并说：“也请及时提供线索。”

蔚来首席信息安全科学家、信息安全委员会负责人卢龙评价称，“此次事件不涉及车辆使用过程中产生的数据（如行驶轨迹、座舱数据），也不影响车辆的行驶或远程控制。车辆。正在对数据泄露的原因和程度进行进一步调查。”

12月21日早6时30分，蔚来就数据泄露在港交所发布公告，“2022年12月20日，公司获悉部分中国用户信息及2021年8月前的车辆销售数据被非法利用由第三方在互联网上出售。蔚来已就此事件在中国发布了公开声明，提供了专门的热线电话和邮箱，用于解答用户对数据泄露事件的疑问，“损失由本人负责”。

目前，为给三天后的12月24日NIO DAY预热，蔚来官方《关于数据安全事件的声明》已淡出蔚来APP信息流。

12.5万蔚来车主或受影响

根据蔚来给出的初步调查，泄露的数据是2021年8月之前的一些用户基本信息和车辆销售信息。

公开资料显示，从2014年11月成立到2021年8月，蔚来在此期间推出了ES8、ES6、EC6等车型，售价从35.8万元到62.4万元不等。 这三款车型分别于2017年12月、2018年12月和2019年12月发布。 2018年6月、2019年6月、2020年9月交房。

蔚来在公布2021年8月交付数据时表示，2021年8月交付5880辆，截至2021年8月31日，ES8、ES6、EC6累计交付131408辆。

也就是说，剔除2021年8月的5880辆，剔除2021年1月发布的ET6（2022年3月开始交付）等预购数据，因数据泄露引发的250万美元勒索事件，波及超过12.5万辆蔚来汽车车主。

据黑客称，其拥有12.5万车主数据，与蔚来公布的截至2021年8月的交付量一致。虽然蔚来并未明确提及一些用户基本信息包括哪些内容，但从隐私协议数据中也可以看出蔚来APP。

根据蔚来隐私协议，购买蔚来车辆时，会收集购买者姓名、手机号码、有效身份证件号码（身份证、护照等）、上牌城市、价格、和付款。 “对于家庭回购场景，我们还需要收集额外的相关信息（结婚证/户口）来证明亲属关系。”

蔚来APP前端页面显示，“供您在蔚来购买和使用汽车”，我的证件页面，注意可以添加的证件有购车额度证明、购车额度证明、社保声明、公积金报表、工资水、房产证等

此外，蔚来APP的数据还包括非蔚来车主。 据蔚来APP负责人、用户数字产品部高级总监张一迪介绍，在20万日活跃用户中，近半数不是蔚来车主、共享汽车用户和Deposit车主，而是没有“参与”的粉丝。根本不买车。 但与蔚来车主相比蔚来汽车比特币数据黑客，蔚来APP注册用户影响较小。 首次注册蔚来APP，只需填写手机号、密码等基本信息即可。 或许这也是为什么在蔚来APP上发布数据的黑客很难溯源的原因之一。

目前，蔚来官方提供了“专门的热线电话和邮箱，解答用户对数据泄露事件的疑问”，担心受此影响的用户可及时更改信息，减少后续损失。

资源平衡

据一些安全平台的招聘显示，蔚来曾在2018年7月以60万年薪招聘安全渗透测试专家，该招聘帖注册用户表示“团队规模正在扩大”。

2019年，蔚来CEO李斌发内部邮件称，计划9月底前在全球裁员1200人，但蔚来回应称，将主要关注人力资源、法务、财务等运营支持部门，并将对研发和用户都有很大的帮助。 服务业等战略性核心部门影响不大。

2021年9月1日，蔚来汽车合规与风险管理部接到投诉称，研发部一名员工涉嫌利用其管理服务器的便利，不当使用公司服务器资源进行虚拟货币数字挖矿。 随后，2022年4月，蔚来就此事发布内部报告，登上微博热搜。 蔚来方面称，该员工是某蔚来集群服务器的管理员，违法行为从2021年2月开始就开始从中获利。

直到2022年3月，NIO SRC正式在漏洞库平台上线，“NIO支持安全研究人员和安全实验室善意进行渗透测试，并致力于与该团体密切合作，验证、复现和响应合法报告的漏洞”

从2014年11月公司成立的时间来看，不算太早。 另一方面，蔚来官网面向应届毕业生的信息安全职位并不多。 不过，外部招聘平台上也有很多高薪职位。 社会招聘职位发布。

值得一提的是，从EP Club高端用户俱乐部、NIO Day年会、NIO价值等方面来看，主打高端的蔚来一直被外界认为构建了一个“高粘性”粉丝圈”。 李斌甚至表示“与销售相比，我更注重用户体验”，可见他对用户的高度重视。

蔚来数据显示蔚来汽车比特币数据黑客，2021年全年，蔚来销售及综合管理费用为68.78亿元，研发费用为45.9亿元。 可见资源平衡如何摇摆。

目前，蔚来已表示不会就此事妥协，并将调查到底。 事件仍在调查中。 这个教训或许是其安全改革的新开端。

结尾。

过去的推荐