12月20日,蔚来汽车发布一则声明,称该公司收到外部邮件,对方声称拥有蔚来内部数据,并以泄露数据勒索225万美元(约1570.5万元人民币)等额比特币。
据网络流传的截图显示,有人士宣称破解了蔚来的大量数据,包括蔚来内部员工数据2.28万条、车主用户身份证数据39.9万条,用户地址数据65万条等信息。
其列出的数据还涉及了蔚来的经营以及客户隐私,如蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息,而这些信息被明码标价进行出售。
例:
•蔚来内部员工数据22800条,包含总裁到一线员工,从事新能源招聘和猎头工作的可以关注,售价0.15比特币;
•车主用户身份证数据399000条,从事黑灰产的可以关注,售价0.25比特币……车主亲密关系数据360000条,挖掘社会关系的可以关注,售价0.2比特币;
•车主贷款数据170000条,售价0.1比特币。
一张疑似网传截图显示,这名黑客已经不是第一次这么干了。
“近日,我们破解了蔚来大量数据,同时给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此决定有偿曝光。”
对此,蔚来首席信息安全科学家、信息安全委员会负责人卢龙也马上做出了反应,当天立刻成立了专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
事件发生后,蔚来对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。
蔚来承诺,对因本次事件给用户造成的损失承担责任,并对此次事件表示歉意。同时蔚来表示,窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不向网络违法犯罪行为低头。
21日,蔚来又在港交所发布公告称,蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。
据蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区透露,本次事件并不涉及车辆使用中产生的数据,如行车轨迹、座舱数据等,也不会影响到车辆的驾乘或远程控制。目前还在进一步调查数据泄露的原因和影响范围。
对于发生用户数据泄露遭勒索一事,蔚来创始人、CEO李斌在蔚来官方社区表示:“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
不过与此同时在蔚来社区里,有多位网友表示最近已经接到许多骚扰电话。甚至有网友称,自己已于12月21日收到诈骗电话,对方称可以为蔚来车主提供30万至100万元的专属贷款。
有分析认为,蔚来的部分数据库或被黑客攻破,并导致了相关用户、车辆销售等重要信息的泄露。此前,包括通用、丰田等知名车企,亦有遭遇黑客攻击,并导致数据外泄的先例。
至于为什么选用比特币勒索,不易追踪一定是第一要素。
首先,比特币有一定的匿名性,便于黑客隐藏身份,其次它不受地域限制,可以全球范围收款,第三去中心化的特点,可以让黑客通过程序自动处理受害者赎金。
而相比于其他数字货币,比特币目前占有最大的市场份额,具有最好的流动性,所以是黑客的首选。
然而,也有人认为,比特币实际上也存在漏洞,比如虽然交易时是匿名的,但是交易者身份实际上是可以追踪的,毕竟比特币有全网记账的特点,使它每一笔交易在所有记账节点都可以看到其交易的内容。
不过,如果勒索者收到比特币后既不使用也不交易,那么还真就无法追踪其身份。
总之,无论是对智能汽车还是区块链来说,加强网络安全防护都至关重要。
热门跟贴