蔚来被曝出数据泄露,涉及2021年8月前的部分用户,蔚来称将对此事件造成的损失负责。
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
【资料图】
卢龙还表示,在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。事件发生后,对公司网络信息安全进行了排查与强化。
当日晚间,蔚来创始人、CEO李斌也在声明评论区表示:“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
据网络流传图片,有人声称破解了蔚来大量数据,包括蔚来内部员工数据2.28万条、车主用户身份证数据39.9万条,用户地址数据65万条等信息,要价从0.1-0.25比特币不等。
有2021年8月之前购车的蔚来车主告诉证券时报·e公司记者,车主自己无法确定数据是否已经被泄露,目前暂时没有受到影响。记者同时致电蔚来客服,对方表示,公司目前不会对此做出主动赔偿,但如果出现“接到骚扰电话”等问题,公司可以协助解决。客服同时提醒,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。
证券时报·e公司记者就调查进展及后续安全保护措施等问题询问蔚来,截至发稿对方尚未答复。
“这是目前新能源汽车领域规模比较大的一次数据泄露。”一位汽车行业专家告诉证券时报·e公司记者,但实际上,包括汽车行业在内的许多领域长期存在数据安全问题,车主信息经常遭到窃取和买卖,“从这个意义上说,蔚来能够站出来曝光这种行为也值得肯定,可能有些车企直接花钱偷偷解决了。但车企根本上还是要提高数据安全保护能力,这次泄露的只是用户数据,如果涉及到智能驾驶等数据,影响会更大,所以这次事件还是给行业提了个醒。”
智能网联汽车的发展增加了数据安全保护的难度和重要性,国内相关法规正在逐步完善。目前相关的法规《汽车数据安全管理若干规定(试行)》、《信息安全技术网联汽车采集数据的安全要求》、《关于加强智能网联汽车生产企业及产品准入管理的意见》等。
《汽车数据安全管理若干规定(试行)》规定,涉及个人信息主体超过10万人的个人信息就属于重要数据,在数据出境等方面受到限制。此外,该法规还倡导运营者处理个人信息和重要数据应坚持几个原则,包括车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则、默认不收集原则。
校对:祝甜婷