李斌掏不出1500萬？

蔚來攤上事兒了。

12月20日，蔚來汽車首席信息安全科學家、信息安全委員會負責人盧龍在官方社區發布公告：

(資料圖片)

在這個月11日的時候，蔚來公司收到外部郵件，聲稱擁有蔚來內部數據，并以泄露數據勒索225萬美元（1568萬元人民幣）等額比特幣。

創始人李斌隨即發布道歉聲明，稱“絕不向不法行為妥協”。

很快，#蔚來用戶數據遭竊取被勒索225萬美元#、#李斌致歉#等詞條沖上熱搜，引起熱議。

幾天后的平安夜，即將迎來蔚來汽車的2022年度NIO Day，在蔚來的官方首頁，吸睛的倒計時跳動著數字，此時此刻被推上風口浪尖的李斌，如坐針氈、如芒刺背、如鯁在喉，留給他的時間不多了。

被上了一課

事情經初步調查，蔚來被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

一時間網友炸了鍋，有的人聲討蔚來不保護用戶隱私安全，有的人表示網絡安全事件頻發，無奈卻理解。

為了安撫用戶情緒，20日晚間，創始人李斌在蔚來官方社區就用戶數據泄露一事發文致歉。

李斌表示：“保護好用戶信息安全是我們的責任，我們沒有做好，向大家深表歉意，會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件，對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。我們不會與不法行為妥協，也請大家及時提供線索?！?/p>

可是據《Tech星球》報道，針對用戶數據泄露一事，蔚來汽車客服人員表示，不會做出主動賠償，但“對因本次事件給用戶造成的損失承擔責任?！?/p>

劃一下重點：目前蔚來采取的做法是不主動、不負責，只有用戶真的因為這件事造成了損失才會承擔責任。

1500萬人民幣，蔚來不想花，李斌也不想花。那怎么辦？只能報警了?？杉埵前蛔』鸬?。

所以，據蔚來所說，12月11日那一天接到了“恐嚇信”，公司當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件?？芍钡揭恢苡杏嘀蟮?0日，才向公眾公開此事。

兩處漏洞

數據到底是如何泄露的？是黑客攻擊，還是員工泄露？此次事件疑點重重。

“快2023年了還能中勒索病毒，這IT得爛成啥樣？”一網友如此評論，表示對于企業遇到黑客攻擊事件不理解。

事實上，數據泄露時時刻刻發生。根據Identify Theft Research Center中心的數據顯示，與2021年同期相比，2022年第一季度實際報告的數據泄露事件數量增加了14%，達到404起。

新能源車市場攻城容易守城難。根據乘聯會最新數據顯示，2022年1月到11月，蔚來汽車累計銷量為106671臺。相比去年同期，其銷量上漲了31.8%。

然而，銷量上漲背后，一些基礎設施也許并未跟上，這才導致蔚來被上了一課。

如果是黑客所為，那么對方一定是掐好了時間點，特意選定的“良辰吉日”，因為12月24日，年度盛典NIO Day就要開始了。事情還在發酵，留給蔚來的時間不多了。

歷史證明，已經有不少企業為數據泄露買單，而根源就在于IT系統的安全性太低。Identify Theft Research Center數據報告提到重要的一點，數據泄露事件大多數是由網絡釣魚和勒索軟件攻擊引發的，其他還包括惡意軟件、憑證填充和不安全的云工具。

具體案例也很多，今年一家國外企業Beetle Eye就發生了一起重大數據泄露事故，由于AWS S3存儲桶未進行任何加密且配置錯誤，泄露了大約700萬人的敏感數據。

還有，微軟在2020年公開了一起長達14年的數據泄露事故，期間2.5億條客戶服務和支持記錄在網上泄露。公司表示，個人數據在存儲之前已從記錄中刪除，但一些明文電子郵件和IP地址被暴露。最后，微軟將其歸因于內部數據庫安全規則的錯誤配置。

還有一種可能，那就是內部管理對于數據安全的缺失，導致內部員工有意或無意泄露。

今年4月，蔚來在一份內部通知中表示，2021年9月1日風險管理部門收到相關投訴，聲稱一位員工利用職位之便，使用公司內部服務器進行了以太坊挖礦，時間長達一年以上。

蔚來強調，該行為已經違反法律，同時也對公司系統安全和業務信息安全產生了負面影響。該涉事員工已承認了自己的行為。

挖礦不僅占用CPU資源影響正常服務，還會產生大量的耗電。但蔚來在一年多的時間中都沒有發現這一點，足以證明其內部管理存在漏洞。

即便有了“前車之鑒”，可似乎蔚來并沒有怎么放在心上。截至「科技新知」發稿，蔚來依舊沒有找到此次數據泄露的“罪魁禍首”。但可以肯定的是，無論何時，企業都不應將數據安全單純地托付給任何一款工具，小到員工培訓，大到公司的策略和管理，這些環節缺一不可。

然而，這件事情背后也映射出一個更為深刻的問題。根據網上流傳的消息，黑客向蔚來喊話：“給了蔚來兩次機會，但是寧愿花費千萬請歌手，也不愿買斷這部分數據?！边@種重營銷、輕技術的商業歪風，何時才能到頭？

數據定義軟件

有些損失是不可挽回的。

自開啟交付至2021年7月，蔚來汽車共計交付12.55萬輛汽車。超過12萬車主的身份證、用戶地址，甚至車主親密關系、車主貸款數據等極為隱私的信息，都成為不法分子索要巨額錢財的籌碼。

即使蔚來認栽贖回，然而電子數據是可復制的，或許這些信息早已散落在各個隱秘的角落。

雖然，盧龍稱本次數據泄露并不影響車輛駕乘或遠程控制，不涉及車輛使用中產生的數據（如行車軌跡、座艙數據）；也有分析人士表示，這次泄露的數據，大部分是存儲在后端、數據庫或者云端的個人數據，黑客如果選擇攻擊車輛本身，還是有一定的技術門檻，而汽車本身有車載的安全網關也會進行攔截。

但是，用戶的不信任，就是一件一件小事聚沙成塔。蔚來此事，似乎又喚起了網友以及用戶對于新能源汽車的種種擔憂，更是重新挑起了新能源和燃油車兩派擁護者之間的矛盾。

“如果數據安全都這么水，自動駕駛不是很危險？”“知道為啥買燃油車了吧，電車還是不成熟?！庇芯W友如此評論。

都說軟件能定義一切，因此這些年汽車賽道也刮起了“軟件定義汽車”的風?，F如今，軟件+汽車還是一門好生意嗎？

看好派認為，軟件將在技術、產品、運營理念、組織架構等方面給汽車產業帶來全面改變，例如這兩年興起的OTA，就是從軟件的邏輯出發，能使用戶從線上進行系統升級和更新。

想讓軟件發揮最大價值的前提就是收集海量數據，這些沉淀下來的數據，不僅僅是企業的資產，更是屬于整個社會的共同資產。

一旦數據管理出現問題，小則影響用戶隱私，大則威脅國家安全。因此，種種信號表明，野蠻生長的時期已經結束了，尤其是被軟件定義的新能源汽車。

去年9月，工信部印發了《關于加強車聯網網絡安全和數據安全工作的通知》，在加強數據安全保護、健全安全標準體系等六方面提出17項具體要求。

今年4月，工信部聯合公安部、交通運輸部等五部門聯合發布了《關于進一步加強新能源汽車企業安全體系建設的指導意見》，明確提出要對車輛網絡安全狀態進行監測，加強對車輛運行數據的分析挖掘。

可以預見的是，智能網聯汽車在中國的數據管控力度，還會進一步加大。

至于蔚來，以及其他車企，無論樂意與否，都應該盡快擺脫未成年人的心態。在沖銷量的同時，不要忘記對用戶、社會多負責。

在軟件定義一切的時代，人們想生活變得更智能，就得交出數據的管理、使用權。

去年9月，一位2020款理想ONE車主向媒體反應稱，理想汽車車機更新時出現的“理想智能系統軟件許可協議”，只給了同意選項，不同意協議甚至無法繼續用車。

最隱私、最珍貴的東西被別人攥在手里，除了心里默念“但愿受傷的那個人不是我”之外，別無選擇?？墒?，誰又能真的逃過？

關鍵詞：