电动汽车智能化大敌来了，蔚来汽车“泄密门”，惊醒买车人

一号说：“电动爹”，将无所不知？

发生在2022 NIO Day 数日前的用户信息泄露事件，像一个蒙面刺客在暗影中刺出一剑，直指蔚来汽车（9866.HK）最敏感而薄弱的部分。

智能化的未来如果是以数据安全为代价，蔚来车主还愿意承受吗？

当你买了一辆新能源汽车后，你的身份证、用户地址，甚至亲密关系、贷款数据都被坏人窃取，并且拿到网上贩卖？

蔚来的12万车主，都有可能面临着这样的风险。

日前，蔚来汽车就用户数据遭窃取发表致歉声明，证实了此前用户数据泄露的传闻。声明显示，遭窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

在数据安全领域有一定影响力的360公司的董事长周鸿祎，近期在其快手号上表示，窃取用户信息进行勒索，已大行其道，甚至：

成为了国际上的“一种商业模式”。

12月25日，蔚来董事长李斌表示，2023年，销量目标是超过雷克萨斯燃油车销量，即销量将达到19万-23万辆。

那么，这20万左右的车主，会不会再次面临个人信息泄密呢？

2023年将进入智能化的下半场，涉及到的用户数据将会更多。甚至于，新能源汽车之所以能够实现智能化，源自于用户让渡了大量的个人数据。

一直以来，车主的数据都被新能源车企视为其重要的财富。那么，车企，乃至行业该如何确保车主的数据不会泄露？

或涉12万蔚来车主

12月25日，在蔚来媒体交流会上，蔚来创始人李斌再次谈及数据泄露事件时表示，蔚来“坚决不妥协”。而此前12月20日，蔚来已就用户数据遭窃取发表致歉声明。

此前一张流传于网络的图片就已经显示，有人“破解了蔚来大量数据”，且公开出售，以比特币结算。

据这张图片，所售数据包括蔚来员工数据、订单数据、车主身份证、用户地址，另外，车主亲密关系、贷款数据等信息也可以出售。

这些信息不仅涉及蔚来公司的机密，也涉及蔚来车主的隐私。

当时，这些敏感的隐私信息，已被一一明码标价。如2.28万条员工数据，标价0.15比特币，3.99万条车主用户身份证数据，标价0.25比特币；而全部数据打包出售，价格仅仅为：

1比特币

这些遭窃取数据，经蔚来初步调查，主要为2021年8月之前蔚来的部分用户基本信息和车辆销售信息。

那么，哪些蔚来车主信息可能已被窃取呢？

公开资料显示，在2021年的8月之前，即2021年1-7月，蔚来累计交付了49887台汽车；

2020年全年，交付量达43728台；

2019年全年，交付量达20565台；

2018年全年，交付量达11348台，共计125528台。

即，此次用户数据泄密，或涉及12万左右蔚来车主。

据财联社，针对广大可能信息已经泄露了的蔚来车主，蔚来客服表示，如近期遇到涉及蔚来的陌生来电，需小心谨慎。

蔚来也因此次数据泄密，遭到勒索。

12月11日，蔚来收到外部邮件，显示遭到勒索金额为225万美元等额比特币。蔚来并没有透露是否交了勒索金，但表示，收到勒索邮件后，当天即成立专项小组进行调查与应对，并第一时间向有关部门报告。

在数据安全领域有一定影响力的360公司的董事长周鸿祎近期表示，目前，此类勒索组织已大行其道。

一些重要单位遭到勒索之后，国内的勒索金额大概平均在500万人民币到1000万人民币，国外的勒索金额是在500万美金到1000万美金。周鸿祎表示：“它已经变成了一种商业模式”。

360车联网安全首席科学家明亮也指出，现在网络空间面对的不再是“小蟊贼”，而是“大玩家”，有“高级持续性威胁、勒索软件攻击”特征。

针对用户数据泄露一事，蔚来汽车客服人员表示，不会对广大车主做出主动赔偿，但“对因本次事件给用户造成的损失承担责任”。

目前已有不少自媒体质疑，车主、用户该如何向蔚来证明遭遇了损失？寻求蔚来赔偿的程序会不会很复杂？

12月25日，蔚来董事长李斌表示，2023年，销量目标是超过雷克萨斯燃油车销量，即销量将达到19万-23万辆。这20万左右的车主，会不会再次面临个人信息的泄密呢?

智能汽车更易信息泄露

明亮表示，近三年，汽车网络攻击事件快速增加。其实，不止蔚来，国内的很多车企都遭受国数据泄露和勒索。

2021年6月，大众汽车曾表示，有将近330万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。

2021年12月，沃尔沃汽车运营的研发数据遭黑客入侵。当时，沃尔沃称，公司有限数量的研发财产被盗，并称 “可能对公司的运营产生影响”。

2022年5月，通用汽车发布声明称，2022年4月11日-29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。

2022年10月，丰田汽车在一份声明中表示，使用T-connect服务的约29.6万名客户的个人信息可能已被泄露。而且，此前的2022年2月，丰田汽车就遭到网络攻击，导致其日本工厂全面停产。

另外，车企有关车主、用户信息被窃取后，一般都会面临巨额勒索。2021年2月，起亚汽车遭到勒索软件攻击，赎金达2亿元。

盖世汽车研究院的报告显示，几乎所有主流车企，都遭受过网络安全影响，数据安全是重点。

相较于普通汽车，智能汽车的信息安全形势更为严峻。

其一、智能汽车之所以能够实现“智能化”，源于用户让渡了大量个人数据。这些数据不仅包括车辆的基本信息，还包括车辆的位置，乃至车内空间的视频和音频等。

其二、汽车智能化是“软件决定汽车”，其中的软件代码十分多，如高阶自动驾驶汽车的软件代码量将达到3亿-5亿行，而业内的“规律”是，每百万行代码缺陷或漏洞数量在600个左右，这意味着，代码众多的智能汽车容易被攻击的漏洞十分多。

其三、车联网中，智能汽车受外界的网络攻击入口也将增多。这些攻击的入口包括无钥匙进入、车内网络、USB卡槽、OBD和传感器等近场攻击，也包括通过wifi、4G/5G网络等中程攻击，还包括主机厂、运营商等云端远程攻击。

纵观过去10年，汽车网络安全事件频发，据Upstream Security统计，截止目前，汽车网络安全攻击事件已接近千起。

在近千起事件中，数据/隐私泄露占比最高，为39.9%。另外，汽车被盗/侵入占比27.9%、控制车辆系统占比24.2%，服务中断占比18.2%。

你还买智能汽车吗？

智能汽车的数据安全方面，不仅包括个人信息易泄露之外，还涉及到行车等其他方面的安全。

你买了一台智能汽车，看似这台汽车归你所有，但是，黑客只需一台笔记本电脑，就可能解锁或启动你的汽车，能够做到远程按喇叭，甚至在行车途中突然远程刹车。

这是福布斯杂志12月21日引用网络安全研究人员警告时的报道，当时，网络人员主要针对的是本田和日产车主。

目前的车联网，使得网络黑客很容易找到漏洞，攻入车辆内部，继而控制车辆行驶，给行车安全带来危险。

另外，智能汽车上大量的视觉、激光雷达、毫米波雷达等传感器在行驶过程中，会不断扫描路面和周围交通环境，获取大量地理信息，这就涉及更高层次的安全问题了。

据传，不少国内公职人员以及在特殊部门工作人员，是不允许购买特斯拉智能汽车的。即使购买了，也不能随便开到他们单位内，这就是基于安全考虑。

有时候，智能汽车个人信息容易泄露的特点，也能起到正面的作用。

美国移民和边境管理人员2022年关注重点，就是汽车黑客工具。通过黑客手段，可以从汽车上收集潜在证据，这比从智能手机上获得的更多，这大大增加他们管理工作的便利性。

从如今数据安全保护的严峻性方面来看，智能汽车主机厂、行业管理部门，都要快速行动起来。

首先，主机厂要强化数据安全管理，在数据的采集、传输、存储、使用等过程中，要从从技术上保证这些数据的安全；另外，主机厂不能仅仅将这些数据仅仅视为自身的“富矿”，而是要重视这些数据的保护，在使用中要合理合法合规。

其次，作为智能汽车行业，也要迅速建立起安全监测机制，把政、产、学、研连接起来，共同构建数据安全监测能力，确保数据泄露隐患在萌芽状态时就被预警。这不仅利于行业发展，对主机厂也很有必要，能确保主机厂在车辆发生风险时能及时知晓。

总之，智能化是汽车产业发展的重要趋势，而数据是实现智能化的基石。保护数据安全，不能阻碍技术创新。要平衡好技术创新与数据安全的关系，确保技术不断创新，最终用技术的手段解决好智能汽车的数据泄露问题。