被敲诈的蔚来是不是冤枉了？

12月20日，蔚来汽车信息安全负责人发布公告称，公司遭到勒索。 对方声称获得了蔚来的内部数据，并索要225万美元，以比特币支付。

勒索邮件是 9 天前收到的。 经过调查，蔚来发现对方是货真价实的：

被盗数据为2021年8月之前的一些用户基本信息和车辆销售信息。

NIO 表示，它永远不会向网络犯罪低头。 20日晚，蔚来老板李斌出面道歉，称自己没有保护好用户的信息安全，愿意承担责任。 他重申：不会向不当行为妥协。

与此同时，网上流传了一张有人兜售蔚来数据的聊天截图。 此人自称破解了大量蔚来数据，给了蔚来两次机会，但都没有答应。 现在他们公开向公众出售，只需1个比特币（约12万人民币）就可以全部带走。

稍有法律常识的人都能明白，这肯定是触犯了法律。 这不仅侵犯了个人隐私，而且构成敲诈勒索。

对方似乎很有道理，说这不是我的错，是蔚来没有付钱，这就是付费曝光。 他认为蔚来错了：

宁愿花几千万请歌手，也不愿买断这部分数据来保护车主和用户。

这是一种高智商犯罪。 如果在这件事情上再加上一条罪名，那一定是绑架罪——道德绑架。

对于敲诈者公开倒卖的截图信息，蔚来官方并未予以证实，但并未予以否认。 但是，数据泄露是肯定的。

这应该是近两年汽车行业最严重的数据泄露事件之一。 过去，大家总是担心个人隐私泄露，因为一些手机APP动不动就违规收集个人信息，一不小心就“裸奔”了。 现在，智能车主可能离“裸奔”不远了。

泄露了哪些数据？

在官宣中，蔚来并未说明泄露了哪些数据。 不过，网上流传的数据贩卖者（以下简称“敲诈者”）明确列出了名单。

这些数据可以理解为一个大数据包，内部分为很多子集，但大体上可以分为两大类：蔚来的公司数据和车主的个人数据。

公司资料主要包括以下内容：

1、蔚来内部员工数据22800条，包括总裁到一线员工，价格为0.15 BTC；

2、NIO注册用户数据485万，价格0.15BTC；

3、企业及企业代表联系方式10000条，价格为0.1比特币；

4. 490,000 笔订单和 90,000 笔退款，价格为 0.15 BTC。

所有者数据包括以下内容：

1、车主和用户身份证数据39.9万条，价格0.25比特币；

2. 650,000条用户地址数据，价格为0.15 BTC；

3、拥有36万车主亲密关系数据，价格为0.2 BTC；

4.有17万车主贷款数据，价格为0.1比特币。

因此，在这起数据泄露案中，蔚来车主和蔚来公司都是受害者。

最先受到波及和波及的一定是车主。 从身份证到住址，连贷款信息都泄露了。 这些都是黑灰长期搜索的目标。 被泄密的车主以后很可能会接到没完没了的骚扰电话。

值得一提的是，还有一份“车主亲密关系资料”。 懂数据分析的人，可以根据这些数据，挖掘出车主的社会关系。 比如“紧急联系人”，骗子拿到这些数据后可以冒充你，发短信给你的亲人，说车撞了你，你赔钱。

蔚来也会受到影响，一些重要数据已经泄露。 比如内部员工数据22800条，从总裁到一线员工。 这些数据对于普通人来说可能没有多大价值，但是对于从事新能源招聘和猎头的人来说却非常有价值。

一位汽车猎头告诉申途，很多猎头会买几年前的数据，或者要一个一个打电话询问公司的组织架构。 “花一点钱其实可以省很多事，只是现在越来越少了。”

此外，蔚来的注册用户数据、订单和退单数据可以用来分析潜在蔚来车主的情况，总结退单原因。 如果被竞争对手掌握，就会更加被动。

敲诈者提到，以上数据只是部分数据，因为数据较多，部分子业务数据没有列出，所有数据打包价格为1个比特币。

这件事的性质比较恶劣。 虽然个人数据泄露并不新鲜，但新能源汽车行业的数据泄露却是一个新话题。 造车新势力一直标榜智能化，将数据视为核心资产之一。 结果，他们连基本的数据安全保护都做不到，这不得不让人担忧。

蔚来非常重视。 先是蔚来信息安全负责人出来代表蔚来发布公告，随后李斌出来道歉，第二天蔚来又在港交所发布公告。 由此可见。

这些数据还能做什么？

数据泄露后，车主最关心的是自己会受到怎样的影响？

除了被黑灰产品盯上，这些数据还能用来做什么？ 比如，车会不会被远程开走？ 或者，哪天突然刹车踩不动了？

大家的担心不是空穴来风。 因为既然数据可以泄露，就说明蔚来的数据保护存在漏洞。 如果存在漏洞，则存在被黑客入侵的风险。

早在五年前，黑客就偷走了汽车。 当时，偷车贼盯上了斯巴鲁汽车的数字钥匙系统。 他们制作了一个简单的装置，可以收集无线电信号，计算出下一个滚动码，然后将类似的无线电信号发送回目标汽车，并把斯巴鲁汽车的遥控钥匙系统搞坏了。

破解后可以做什么？ 简而言之，它可以做数字钥匙可以做的任何事情。 如解锁车门、按喇叭、获取车辆位置记录信息等。利用该漏洞的设备成本不到30美元。

当然，这五年来车企的技术有了长足的进步，填补了很多漏洞。 但这是一场猫捉老鼠的游戏，总会有人发现新的漏洞。

即便再强如特斯拉，也免不了被“黑”。 “红师傅”周鸿祎表示，360已经三次破解特斯拉的云系统。 2020年，特斯拉Model X的Autopilot系统曾多次被黑。 2021年，特斯拉掉进了“隐私门”，因为车内的摄像头记录了车内的大部分空间信息。 黑客入侵特斯拉汽车后，监控视频曝光。

理论上，只要联网，任何一家车企的系统都有可能被破解。 这里的关键是黑客有没有必要这么做，时间、成本、技术问题都要考虑。

蔚来被盯上，一方面是因为蔚来的知名度。 虽然理想和小鹏也在飞速发展，但如果要比辈分和影响力，还是非蔚来莫属。 尤其是在欧美市场，大家都认可蔚来。 再加上蔚来的品牌比较高端，车价跟BBA不相上下。 大多数车主都是中产阶级或所谓的富人，这些人的信息更有价值。 用业内人士对申途的话来说：“还是卖的好”。

不要小看一些看似无关紧要的个人信息。 对于一些黑色和灰色产品，此信息简直就是一笔财富。

让我们举个例子。 高德之前做了一个报告，只统计了不同品牌车主的出行轨迹，得出了以下结论：奔驰的用户更富有，因为住别墅的比例更高； BMW用户喜欢购物，因为他们经常去步行街或者商场； 沃尔沃用户热爱文学和艺术，因为他们总是去剧院和名胜古迹； 奥迪的用户大多是体制内的人，因为他们的行踪总会出现在政府机构中。

搞清楚这些人的用户画像后，就可以打电话给他们进行精准营销了。 电话推销员肯定会向奔驰车主推荐别墅，他们不会冒充亲戚向奥迪车要钱，尤其是那些平时住址是警察局的奥迪车主。

那么，如果你是蔚来车主，恰好在2021年8月之前提车，你现在是不是有点慌了？

不要恐慌。 魏表示，此事尚未完全澄清，仍在调查数据泄露的原因和范围。 李斌道歉后别人用我身份证注册了比特币，蔚来信息安全负责人补了一句：此次事件不涉及车辆使用过程中产生的数据（如行驶轨迹、座舱数据），也不影响驾驶或远程车辆的控制。

先不说泄露了什么，就说没泄露什么，也就是说没泄露的部分才是关键数据。 在蔚来看来，对车主的影响应该还是有限的。 上述破解车辆、掌握行踪的情况是不应该发生的。

一位蔚来车主很淡定。 他对申图说：“泄露的数据其实在中国的商业环境中可以通过多种方式获取，但在蔚来车主的场景中是结合在一起的。”

谁来承担责任？

还有一个很关键的问题：蔚来的数据是怎么泄露的？ 谁窃取了这些数据？

通常有两种可能，一种是黑客攻击，一种是内部人员。

根据目前已知的信息，有人在公开出售蔚来泄露的数据，但无法判断这些数据经过了多少人之手。 因为交易数据的人和窃取数据的人可能不是同一个人。 从勒索者的说法来看，黑客攻击破解的可能性更大。

北京市智浦律师事务所合伙人李盛告诉申图，窃取或者以其他方式非法获取公民个人信息，构成侵犯公民个人信息罪，应当处三年以下有期徒刑或者拘役，情节特别严重的，处三至七年有期徒刑，并处罚金。 此外，数据获取者向蔚来索要赎金，也构成敲诈勒索罪。

勒索者既然敢公然出卖数据，想必对其中的好处也心知肚明，所以在要钱的时候，明确表示只接受比特币，因为比特币不易追踪。

那么有没有可能是蔚来内部员工泄密了呢？ 目前还不能完全排除这种可能性。

互联网行业历史上发生的很多数据泄露事件，都是因为内鬼，甚至是内外勾结。

李盛律师表示，如果侵犯、出售或者向他人提供在履行职责或者提供服务过程中获取的公民个人信息，将以侵犯公民个人信息罪予以严惩。

内部泄密事件的发生，往往是由于公司内部的信息安全保护机制出现问题。

新能源汽车的数据可能会与供应商、合作伙伴及集团其他业务等第三方共享、转让或委托处理数据。 比如在自动驾驶上，很多车企会和第三方自动驾驶公司合作，这里面会涉及到数据共享。 大量敏感数据在多个部门和组织之间频繁交换和共享，扩大了数据暴露面。 如果公司内部没有完善的制度，数据泄露的风险很大。

车企拥有大量的用户数据，风险防范责任更大。 一位自称从事信息安全的人士给李斌留言说，信息安全和工作效率本来就是矛盾的。 蔚来数据泄露事件不能只怪罪于外界。 内因是根源，要有内部问责机制。

蔚来信息系统的安全防护能力如何？ 这很难评估。 但是有这么一个小东西，或许可以部分说明问题。

今年4月，蔚来在公司内部发出通知。 公司集群服务器管理员张某利用职务便利，偷偷利用公司服务器的计算资源挖以太坊长达一年之久。 . 直到被投诉到公司风险管理部门，蔚来才发现这一点。 经侦查，张某对其违法事实供认不讳。

无论是黑客还是内行，能够钻空子的前提是要有可钻的空子。

当然，在蔚来数据泄露事件中，蔚来也是受害者。 不仅数据丢失，品牌受损，车主还可能得到赔偿。

李胜向申途介绍，如果信息泄露的所有者遭受损失，蔚来无法证明自己没有过错别人用我身份证注册了比特币，应承担损害赔偿等侵权责任。 具体损害赔偿责任根据个人遭受的损失或者个人信息处理者获得的利益确定。 损失或者利益难以确定的，按照实际情况确定赔偿数额。

十天前蔚来收到敲诈者的邮件时，蔚来有两个选择，一是付钱保密，二是无视。 蔚来选择了后者，态度强硬。

蔚来近十天未对外公开此事，而去年8月离车的蔚来车主们并不知道自己的信息被泄露。 直到有人在网上卖数据，蔚来才公开承认。

非法窃取和勒索数据的行为必须坚决打击，但掌握大量用户数据的车企也应承担起保护数据安全的责任，这是企业义不容辞的责任。 希望车企不要再无缘无故让车主“裸奔”了。

【本文经投资方微信公众号授权发布：申图。 本平台仅提供信息存储服务。 】如有任何疑问，请联系（editor@zero2ipo.com.cn）投资界。