蔚来泄密，惊醒买车人

　　图片来源视觉中国
　　文一号财经，作者金水
　　发生在2022NIODay数日前的用户信息泄露事件，像一个蒙面刺客在暗影中刺出一剑，直指蔚来汽车（9866。HK）最敏感而薄弱的部分。
　　智能化的未来如果是以数据安全为代价，蔚来车主还愿意承受吗？当你买了一辆新能源汽车后，你的身份证、用户地址，甚至亲密关系、贷款数据都被坏人窃取，并且拿到网上贩卖？
　　蔚来的12万车主，都有可能面临着这样的风险。
　　日前，蔚来汽车就用户数据遭窃取发表致歉声明，证实了此前用户数据泄露的传闻。声明显示，遭窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
　　在数据安全领域有一定影响力的360公司的董事长周鸿祎，近期在其快手号上表示，窃取用户信息进行勒索，已大行其道，甚至：
　　成为了国际上的一种商业模式。
　　12月25日，蔚来董事长李斌表示，2023年，销量目标是超过雷克萨斯燃油车销量，即销量将达到19万23万辆。
　　那么，这20万左右的车主，会不会再次面临个人信息泄密呢？
　　2023年将进入智能化的下半场，涉及到的用户数据将会更多。甚至于，新能源汽车之所以能够实现智能化，源自于用户让渡了大量的个人数据。
　　一直以来，车主的数据都被新能源车企视为其重要的财富。那么，车企，乃至行业该如何确保车主的数据不会泄露？
　　或涉12万蔚来车主
　　12月25日，在蔚来媒体交流会上，蔚来创始人李斌再次谈及数据泄露事件时表示，蔚来坚决不妥协。而此前12月20日，蔚来已就用户数据遭窃取发表致歉声明。
　　蔚来集团发布公告回应
　　此前一张流传于网络的图片就已经显示，有人破解了蔚来大量数据，且公开出售，以比特币结算。
　　据这张图片，所售数据包括蔚来员工数据、订单数据、车主身份证、用户地址，另外，车主亲密关系、贷款数据等信息也可以出售。
　　这些信息不仅涉及蔚来公司的机密，也涉及蔚来车主的隐私。
　　当时，这些敏感的隐私信息，已被一一明码标价。如2。28万条员工数据，标价0。15比特币，3。99万条车主用户身份证数据，标价0。25比特币；而全部数据打包出售，价格仅仅为：1比特币。
　　网络流传图片
　　这些遭窃取数据，经蔚来初步调查，主要为2021年8月之前蔚来的部分用户基本信息和车辆销售信息。
　　那么，哪些蔚来车主信息可能已被窃取呢？
　　公开资料显示，在2021年的8月之前，即2021年17月，蔚来累计交付了49887台汽车；
　　2020年全年，交付量达43728台；
　　2019年全年，交付量达20565台；
　　2018年全年，交付量达11348台，共计125528台。
　　即，此次用户数据泄密，或涉及12万左右蔚来车主。
　　据财联社，针对广大可能信息已经泄露了的蔚来车主，蔚来客服表示，如近期遇到涉及蔚来的陌生来电，需小心谨慎。
　　蔚来也因此次数据泄密，遭到勒索。
　　12月11日，蔚来收到外部邮件，显示遭到勒索金额为225万美元等额比特币。蔚来并没有透露是否交了勒索金，但表示，收到勒索邮件后，当天即成立专项小组进行调查与应对，并第一时间向有关部门报告。
　　在数据安全领域有一定影响力的360公司的董事长周鸿祎近期表示，目前，此类勒索组织已大行其道。
　　一些重要单位遭到勒索之后，国内的勒索金额大概平均在500万人民币到1000万人民币，国外的勒索金额是在500万美金到1000万美金。周鸿祎表示：它已经变成了一种商业模式。
　　360车联网安全首席科学家明亮也指出，现在网络空间面对的不再是小蟊贼，而是大玩家，有高级持续性威胁、勒索软件攻击特征。
　　针对用户数据泄露一事，蔚来汽车客服人员表示，不会对广大车主做出主动赔偿，但对因本次事件给用户造成的损失承担责任。
　　目前已有不少自媒体质疑，车主、用户该如何向蔚来证明遭遇了损失？寻求蔚来赔偿的程序会不会很复杂？
　　12月25日，蔚来董事长李斌表示，2023年，销量目标是超过雷克萨斯燃油车销量，即销量将达到19万23万辆。这20万左右的车主，会不会再次面临个人信息的泄密呢？
　　智能汽车更易信息泄露
　　明亮表示，近三年，汽车网络攻击事件快速增加。其实，不止蔚来，国内的很多车企都遭受国数据泄露和勒索。
　　2021年6月，大众汽车曾表示，有将近330万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
　　2021年12月，沃尔沃汽车运营的研发数据遭黑客入侵。当时，沃尔沃称，公司有限数量的研发财产被盗，并称可能对公司的运营产生影响。
　　2022年5月，通用汽车发布声明称，2022年4月11日29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。
　　2022年10月，丰田汽车在一份声明中表示，使用Tconnect服务的约29。6万名客户的个人信息可能已被泄露。而且，此前的2022年2月，丰田汽车就遭到网络攻击，导致其日本工厂全面停产。
　　另外，车企有关车主、用户信息被窃取后，一般都会面临巨额勒索。2021年2月，起亚汽车遭到勒索软件攻击，赎金达2亿元。
　　盖世汽车研究院的报告显示，几乎所有主流车企，都遭受过网络安全影响，数据安全是重点。
　　相较于普通汽车，智能汽车的信息安全形势更为严峻。
　　其一、智能汽车之所以能够实现智能化，源于用户让渡了大量个人数据。这些数据不仅包括车辆的基本信息，还包括车辆的位置，乃至车内空间的视频和音频等。
　　其二、汽车智能化是软件决定汽车，其中的软件代码十分多，如高阶自动驾驶汽车的软件代码量将达到3亿5亿行，而业内的规律是，每百万行代码缺陷或漏洞数量在600个左右，这意味着，代码众多的智能汽车容易被攻击的漏洞十分多。
　　其三、车联网中，智能汽车受外界的网络攻击入口也将增多。这些攻击的入口包括无钥匙进入、车内网络、USB卡槽、OBD和传感器等近场攻击，也包括通过wifi、4G5G网络等中程攻击，还包括主机厂、运营商等云端远程攻击。
　　纵观过去10年，汽车网络安全事件频发，据UpstreamSecurity统计，截止目前，汽车网络安全攻击事件已接近千起。
　　在近千起事件中，数据隐私泄露占比最高，为39。9。另外，汽车被盗侵入占比27。9、控制车辆系统占比24。2，服务中断占比18。2。
　　你还买智能汽车吗？
　　智能汽车的数据安全方面，不仅包括个人信息易泄露之外，还涉及到行车等其他方面的安全。
　　你买了一台智能汽车，看似这台汽车归你所有，但是，黑客只需一台笔记本电脑，就可能解锁或启动你的汽车，能够做到远程按喇叭，甚至在行车途中突然远程刹车。
　　这是福布斯杂志12月21日引用网络安全研究人员警告时的报道，当时，网络人员主要针对的是本田和日产车主。
　　目前的车联网，使得网络黑客很容易找到漏洞，攻入车辆内部，继而控制车辆行驶，给行车安全带来危险。
　　另外，智能汽车上大量的视觉、激光雷达、毫米波雷达等传感器在行驶过程中，会不断扫描路面和周围交通环境，获取大量地理信息，这就涉及更高层次的安全问题了。
　　据传，不少国内公职人员以及在特殊部门工作人员，是不允许购买特斯拉智能汽车的。即使购买了，也不能随便开到他们单位内，这就是基于安全考虑。
　　有时候，智能汽车个人信息容易泄露的特点，也能起到正面的作用。
　　美国移民和边境管理人员2022年关注重点，就是汽车黑客工具。通过黑客手段，可以从汽车上收集潜在证据，这比从智能手机上获得的更多，这大大增加他们管理工作的便利性。
　　从如今数据安全保护的严峻性方面来看，智能汽车主机厂、行业管理部门，都要快速行动起来。
　　首先，主机厂要强化数据安全管理，在数据的采集、传输、存储、使用等过程中，要从从技术上保证这些数据的安全；另外，主机厂不能仅仅将这些数据仅仅视为自身的富矿，而是要重视这些数据的保护，在使用中要合理合法合规。
　　其次，作为智能汽车行业，也要迅速建立起安全监测机制，把政、产、学、研连接起来，共同构建数据安全监测能力，确保数据泄露隐患在萌芽状态时就被预警。这不仅利于行业发展，对主机厂也很有必要，能确保主机厂在车辆发生风险时能及时知晓。
　　总之，智能化是汽车产业发展的重要趋势，而数据是实现智能化的基石。保护数据安全，不能阻碍技术创新。要平衡好技术创新与数据安全的关系，确保技术不断创新，最终用技术的手段解决好智能汽车的数据泄露问题。