蔚来“用户数据泄露”事件后，汽车数据安全备受关注

汽车数据安全警报再次响起！

12月20日晚，蔚来汽车在其官方社区发布声明，确认2021年8月之前的部分用户基本信息和车辆销售信息被黑客窃取。 黑客向蔚来勒索了价值1567万元的比特币。 随后，蔚来汽车创始人、董事长兼CEO李斌在向用户公开道歉的同时，表示“不会向违法行为妥协”。 李斌不妥协的态度得到了用户的广泛好评，这件事也引起了业内的广泛关注。

01 数据窃取勒索

“我们仍在进一步调查数据泄露的原因和范围。” 12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙向公司官方社区表示，日前有人在网上出售蔚来相关信息。 数据情况回应，承认相关信息泄露，但同时表示泄露信息不包括智能座舱、行驶轨迹等车载数据，不影响车辆的驾驶和远程控制。

根据公开的信息，泄露的数据涉及蔚来的运营和客户隐私，包括蔚来员工数据、订单数据、车主身份证、用户地址，甚至车主紧急联系人、车主贷款数据等隐私信息。 而且，这些信息都是明码标价的，价格都是以比特币为单位的。 例如，22800条员工数据的价格为0.15比特币，39900条车主用户ID数据的价格为0.25比特币； 所有数据都以 1 比特币的价格打包出售。

“在北京等限牌城市，购买蔚来等品牌电动汽车，用户不仅需要提交购车指标、身份证、驾驶证、社保卡、工作居住证、手机等信息。电话号码，还有更多的个人信息。 ”蔚来车庄先生告诉记者，取车后，蔚来APP还会让用户填写驾驶证、车辆配置、车架号、发动机号、车辆VIN号（每辆车的全球唯一代码） ，相当于车辆的身份证号）。身份证）等，这些都是必填信息。同时，在蔚来这样的智能网联汽车上，由于自带4G或者5G通信模块蔚来汽车比特币数据黑客，还需要按照主管部门的规定进行实名认证，很多车型都需要在APP上进行人脸识别+身份证号码识别认证。

虽然蔚来被勒索事件仍在调查中，但基本可以确定，此次黑客从蔚来窃取的只是车主的部分数据，目前还不清楚黑客是如何窃取的。

02 数据安全问题凸显

蔚来用户数据被盗，在汽车行业并不是第一次。

10 月 7 日，丰田表示，使用该公司 T-Connect 车联网的 296,019 个电子邮件地址和客户电话号码可能已被泄露。 注册个人。

此前，通用汽车向加州监管机构提交的一份数据泄露报告显示，黑客在今年 4 月入侵了部分通用汽车客户的在线账户。 黑客可能已经获取了用户地址、电话号码和其他个人信息。 据报道，在某些情况下，入侵允许黑客将客户账户中的奖励积分兑换成礼品卡。

今年 5 月，英国曼彻斯特安全公司 NCC Group 首席安全顾问 Sultan Qasim Khan 表示，一种针对特斯拉 Model S 和 Model Y 的黑客方法可能会让窃贼解锁车门并启动电机，并指出这种攻击方式同样适用于特斯拉。 车辆不是pull，但他在演示时选择了特斯拉汽车。 今年1月，一位年轻的美国技术专家声称发现了特斯拉系统的一个软件漏洞，并成功地试图远程破解13个国家的25辆特斯拉汽车。

360车联网安全实验室报告显示，在对国内25家车企销售的53款车型的测试中，测试中发现漏洞1600余个，其中云端漏洞1000个，可能允许黑客远程控制同品牌批量存在600多个车辆端漏洞，可能允许黑客通过非接触方式近距离控制汽车车门和发动机。

“蔚来数据被盗事件表明，智能电动汽车的数据安全风险与日俱增。” 成都市新能源汽车产业推广应用促进会秘书长范永军告诉记者蔚来汽车比特币数据黑客，由于智能电动汽车本身具有智能化、网络化的特点，使其成为移动数据终端，也成为黑客的潜在目标偷窃和攻击。 因此，智能电动汽车的数据安全已成为当前汽车安全的重要组成部分，受到国内外车企的高度重视。 很多车企也在研发一些适配车型的安全技术，比如奔驰的E-vehicle interconnect application。 它与车辆的功能安全模块分离，即使是专业的研究团队也无法破解被测车辆的任何关键安全功能。

中国营销学会（汽车）营销专家委员会秘书长薛旭告诉记者，提升智能汽车的数据安全，通常的做法主要有：一是提升全产业链的数据安全管理水平，通过“区块链+智能网联汽车”技术融合，结合部分数据加密手段，可显着提升汽车数据安全管理水平； 二是加强数据传输网络的安全保护。 通常，数据窃取和黑客攻击都是通过网络实现的。 因此，通过网络入侵检测与防护技术的创新，构建多层网络防护和多重检测技术，可以更大程度地防范网络入侵； 三是采用Encryption技术，通过预装安全加密模块或选用国密算法，提升智能网联汽车各关键环节的数据安全防护能力。

03完善依法治国措施

在汽车数据安全领域，随着带宽、网速、数据量的增加，盗窃与防盗、黑客与反黑客一直是技术演进的主题。

对于黑客的勒索，很多企业并不买账。 今年3月，日本电装也遭到黑客攻击。 超过 157,000 份订单、电子邮件和设计图纸共计 1.4TB 数据涉嫌泄露，黑客索要赎金，但电装未予理会。 今年8月，德国汽车零部件巨头大陆集团被曝遭到网络攻击。 在拒绝支付赎金后，黑客威胁要在暗网上出售大陆集团的预算、投资、战略规划和客户相关信息。 大陆没有忽视它。

同样是数据盗窃和勒索。 有的公司认为只要交“赎金”就可以解决问题，但实际情况恰恰相反。 2016 年 10 月，Uber 遭到黑客攻击，5700 万乘客和司机的个人数据被盗。 面对黑客的曝光威胁，公司时任首席安全官兼副手选择向黑客支付10万美元（约合人民币69万元）的赎金，但并没有起到任何作用。 之后，首席安全官被公司解雇。

面对蔚来汽车数据被盗等事件，我们该如何应对？ “依法管理汽车数据是最可靠的手段。” 范勇军表示，截至目前，我国已经出台了相关法律法规，比如2021年9月1日实施的《中华人民共和国数据安全法》、2021年10月1日实施的《关于汽车的若干规定》五部门制定的《数据安全管理办法（试行）》1日起实施。 但由于我国智能汽车技术发展迅速，在很多领域都走在了行业前列，尤其是在数据安全领域。 已经出台的相关法律法规只是对汽车数据盗窃等新型网络违法行为进行了原则性规定，规定不够细化，相关法律法规在实践中还需要进一步完善，所以希望类似的蔚来汽车数据盗窃事件能够在法律框架内得到及时严惩，让违法的汽车和用户数据安全环境得到有效治理。

当前，我国智能电动汽车产业发展迅猛，数据成为推动产业增长的重要生产要素，受到产业链上下游前所未有的重视。 “应对汽车用户数据被恶意窃取，需要主管部门、执法部门、行业组织、汽车企业共同努力，需要不断完善相关技术标准和法律法规，形成有法可依、有法可依的法律体系。” ——全社会遵纪守法，良好的法治环境将持续满足用户对数据安全的期待，从而为智能电动汽车的高质量发展保驾护航。 薛旭信以为真。