蔚来用户数据被窃取，遭勒索225万美元等额比特币

12月20日，蔚来发布关于数据安全事件的声明。其中指出，蔚来公司于12月11日收到外部邮件,对方声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。

蔚来指出，经初步调查，被窃取数据为 2021 年8 月之前的部分用户基本信息和车辆销售信息。而在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。

图片来源：蔚来

目前尚不清楚蔚来具体调查结果。不过据盖世汽车了解，近日确实有人在网上声称“破解了蔚来大量数据，同时，给了蔚来两次机会，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户，因此决定有偿曝光。”

而蔚来在声明中也证实了这一情况，称“12 月 20日,有不法人士在网上出售蔚来相关数据”。

据网传疑似出售信息相关截图，此次出售的信息涉及蔚来内部员工数据、车主用户身份证数据、用户地址数据以及蔚来注册用户数据等多个方面。其中，蔚来内部员工数据22800条，包含总裁到一线员工，售价0.15比特币；车主用户身份证数据39.9万条，售价0.25比特币；用户地址信息65万条，售价0.15比特币；车主贷款数据17万条，售价0.1比特币。

随后，蔚来首席信息安全科学家、信息安全委员会负责人卢龙对此次泄露事件的具体安全危害作了进一步的补充。其表示，本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)，也不影响车辆的驾乘或远程控制。

值得关注的是，在汽车行业蔚来的遭遇并非个例。在此之前，丰田及通用也相继发生了类似的信息泄露事件。

10月7日，丰田表示，使用该公司T-Connect（一个通过网络连接车辆的远程信息服务）的296,019个电子邮件地址和客户电话号码可能被泄露，受影响的客户为自2017年7月以来使用个人电子邮件地址在该服务网站注册的个人。

更早一些时候，外媒报道称，通用提交给加利福尼亚州监管机构的一份数据泄露通知也显示，有黑客在今年4月入侵了部分通用客户的线上账户，黑客可能获得了地址、电话号码和其他个人信息。据悉，这些入侵行为在某些情况下允许黑客使用客户账户中的奖励积分兑换礼品卡。

事实上，当前汽车行业面临的信息安全风险远不止于此。随着智能网联汽车的快速发展，极大地提升了汽车与外界的互联互通性，基于此进行的网络攻击甚至还会带来大规模车辆恶意操控风险，极大地威胁智能汽车用户的财产以及驾驶安全。

据360车联网安全实验室此前统计的数据显示，国内25家车企的53款在售车型中，目前已经发现1600余个漏洞，其中包含1000个云端漏洞，这些漏洞可能导致黑客远程批量控制同一品牌的所有汽车终端；车端漏洞600多个，这些漏洞可能让黑客通过非接触方式，近距离控制汽车的车门、发动机等部件。

比如特斯拉，就曾多次被曝面临类似的安全风险。今年5月，英国曼彻斯特安全公司NCC集团的首席安全顾问Sultan Qasim Khan表示，一种针对特斯拉Model S和Model Y的黑客攻击方法能够让盗贼解锁车门并启动电机，并指出这种攻击方式也适用于特斯拉之外的车辆，只不过他在演示的时候选择了一辆特斯拉车辆。

“攻击者可以在晚上走到任何一户人家，如果主人的手机在家里，而且外面停着一辆可通过蓝牙进入的汽车，盗贼就可以使用这种攻击来解锁和启动汽车。只要设备在遥控钥匙或手机附近，攻击者就可以在世界任何地方发送攻击命令。”

1月份的时候，一名19岁且自称是信息技术专家的David Colombo声称，他在特斯拉的系统中发现了一个软件漏洞，并远程入侵了13个国家的25辆特斯拉汽车。

David在推特上发文称，这个软件漏洞可以让他远程打开特斯拉的车门和窗户，不用钥匙就能启动汽车，并使汽车的安全系统失灵。他还表示，他可以判断是否有司机在车里，并打开车辆的立体声系统，并闪烁前灯。