数据泄露风波中的蔚来:测试车曾坠楼,ET5车窗现品控问题
近日,蔚来被曝出其用户相关数据在网上被不法人士售卖,引发热议。针对此次事件,蔚来方面先后三次道歉,称不涉及车辆使用中产生的数据,也不影响车辆的驾乘或远程控制,会对此次事件给用户带来的损失承担责任。三次道歉未能平息多位蔚来车主的质疑。
有信息安全领域资深从业者告诉南都记者,由制造业起家的车企整体上的信息化水平、信息安全保障水平仍处在初级阶段,此次事件或引发相关政府部门进一步加强对汽车行业数据安全的监管。“蔚来没有选择定向通知受影响的用户,有可能是担心通知后会引发更多的质疑与客诉。用户可以提出追责,但出于多种原因,用户很难获得实质性赔偿。”
常以“高端智能电动汽车”定位出现在公众面前的蔚来,近一年内可谓风波不断。一季度受疫情影响,供应链受波及,工厂曾短暂停产,交付量下挫。之后,接连发生测试车高空坠落事故和被国际做空机构做空等事件。近期,蔚来寄予厚望的新车型ET5也曝出车窗无法自动关闭、翘边等品控问题。
蔚来发生用户数据大规模泄露事件
12月20日下午,数张蔚来数据被破解及出售的图片在网络流传。网传图片显示,被破解的数据包括蔚来内部员工数据22.8万条,从总裁到一线员工均有;车主用户身份证数据399万条、用户地址数据65万条等信息,勒索要价从0.1-0.25比特币不等。
对此,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
卢龙透露,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。蔚来还在进一步调查数据泄露的原因和影响范围。
随后,蔚来工作人员向南都记者表示,目前正对公司的网络信息安全进行排查与强化,具体有哪些用户受影响暂不可知,相关信息仍在排查中,当前已知的是2021年8月之前的部分用户基本信息和车辆销售信息被窃取。在用户基本信息中,可能会包括身份证号、真实姓名、家庭住址等信息。
当天晚间,李斌在评论区回应道,“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
南都记者注意到,李斌发布致歉评论后,仍有多位蔚来车主不买账。有车主质疑道,具体泄露的数据有哪些、有何补救措施、车主如何举证自己的损失、需要车主防范和注意什么,此次信息泄露事件是因内部人员非法窃取还是安全网络被攻破等,蔚来方面都需要作出进一步解释。
12月21日早间,蔚来在港交所发布公告称,其承诺对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意,并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。蔚来再次重申其对保护用户数据安全及隐私的承诺。
专家称遭信息泄露用户很难获得实质性赔偿
关于智能汽车的数据安全问题,此前已引发诸多讨论,此次蔚来泄露数据事件算得上是汽车行业内较大规模的一次数据泄露。有信息安全领域资深从业者告诉南都记者,“这无疑会对汽车行业产生较大震动”,或引发相关政府部门进一步加强对汽车行业数据安全的监管。目前,相较于信息安全保障水平较高的金融行业,由制造业起家的车企整体上的信息化水平、信息安全保障水平仍处在初级阶段,近年来伴随车联网的快速发展,车企才逐渐加大了对信息安全的重视。
根据蔚来发布的公告内容,此次泄露的数据为部分用户基本信息和车辆销售信息,未涉及车辆使用过程中收集、产生的数据,这部分泄露的数据通常不会对车辆驾乘或远程控制产生影响。
该信息安全从业者表示,个人基本资料、车辆销售数据和车辆使用产生的数据,安全级别的差异不能一概而论。前者与个人身份及隐私联系密切,后者与行车安全和人身安全关系更密切;前者主要是采集后就存储于云端(服务端),后者通常采集后直接存储于车辆端,而后也可能传到云端,其数据控制权要求更高。
谈及数据泄露的可能原因,该名从业者认为,可能是内部员工安全意识缺乏,如被“钓鱼”邮件攻击导致泄露了能访问相关数据的内部系统账号密码,也可能是企业网络系统存在安全漏洞被黑客利用,或是内部数据安全管理不善导致泄露。理论上,一旦企业遭受攻击,黑客完全有可能触及到车企关于车辆的数据。
“从目前公开信息来看,蔚来是收到了黑客的勒索邮件,为了‘止损’,也为了履行《网络安全法》《数据安全法》等相关法规关于安全事件发生后的相关告知义务,蔚来第一时间发布了事件公告。一定程度上讲,此举也有助于企业减轻自身责任。业内不少公司遇到这种情况会选择低调处理,花钱消灾,息事宁人。”该名从业者说道。
即便蔚来方面多次公开宣称会对信息泄露一事负责,但其客服人员告诉南都记者,数据泄露的原因及影响范围仍在排查中,目前暂时不会主动告知某位车主其数据遭到泄露,或发起主动赔偿。当南都记者进一步追问车主需如何举证自己的损失时,该客服人员未予正面回复,仅称蔚来方面会对用户损失负责,用户可以在专属群或向官方工作人员反馈。
上述从业者还提到,“发了事件公告,也算车企主动告知用户的一种方式。按道理说,车企还应该通过电话、邮件等方式告知受影响的客户。蔚来没有及时定向通知受影响的用户,除了‘事件原因及范围尚在排查中’这一原因外,还有可能是担心定向通知后会引发更多的质询与客诉。用户可以提出追责,但因各种原因,如信息不对称、难以举证自己的数据遭泄露、当前国内数据保护相关法律体系不够健全、司法救济机制薄弱等,用户很难获得实质性赔偿。”
蔚来风波不断的一年
常以“高端智能电动汽车”定位出现在公众面前的蔚来,近一年内可谓风波不断。
今年3月以来,受疫情影响,蔚来位于吉林、上海、江苏等多地的供应商陆续停产,其整车生产也于4月9日暂停,部分用户的车辆交付也延期。停产风波下,蔚来4月份仅交付新车5074辆,同比下降28.6%。
复工复产后,进入6月,蔚来又发生测试车高空坠楼事故。南都此前报道,6月23日,在上海创新港蔚来总部,有一辆测试车从楼上冲出并坠落。当天晚间,蔚来发布声明称,事故造成两名数字座舱测试人员罹难,其中一名为公司同事,另一名为合作伙伴员工。
但蔚来针对此事故的“冷血”言论引发争议。蔚来在声明中表示,事故发生后,公司第一时间协同公安部门启动了事故原因调查分析程序。根据对现场情况的分析,可以初步确认,“这是一起意外事故,与车辆本身没有关系”。
测试车高空坠楼事故发生不到一周后,6月29日,美国做空机构灰熊(Grizzly Research)发布做空报告,认为蔚来汽车可能通过夸大收入和盈利能力达到目标,并点明了一家名为武汉蔚能电池的公司。在这家蔚能公司完成B轮融资后,蔚来持有该公司19.84%股权,是后者单一最大股东。随后蔚来股价一天内跌超10%。
对此,蔚来方面发布公告回应称,该报告并无依据,其关于蔚来的资讯包含许多错误、无根据的推测及误导性结论和诠释。公司的董事会,包括审计委员会,正在审查这些指控,并考虑采取适当的行动来保护所以股东的利益。
10月中旬以来,再度受疫情影响,蔚来汽车位于合肥的两座工厂相继停工,旗下车型的交付进度普遍延缓,包括被蔚来寄予厚望的ET5。ET5是蔚来在去年12月18日的NIO Day 2021上,推出的一款纯电中型轿跑车,起售价为32.8万元。9月30日起,蔚来ET5开始正式交付。蔚来汽车创始人李斌曾在二季度财报电话会议上透露,今年年底,ET5的单月交付量要冲击过万。
此时恰逢ET5冲击销量的关键时期。蔚来汽车公布的10月交付数据显示,ET5在第一个完整月的交付量达1030辆,离单月交付量过万的销量目标仍有不小距离。11月初,李斌在三季度财报会议上曾表示,“产能爬坡影响确实比较大,ET5大概少了两三千台的产出。但现在已经恢复了生产,并会增加一条产线,月底的产能就能爬上来,预计在12月ET5能够达到预期。”
销售数据显示,ET5等新车型也的确拉动了蔚来的整体交付量。11月蔚来共交付新车14178辆,同比增长30.3%,创月度交付数新高。截至12月,蔚来交付新车106671辆,年度交付首次超过10万辆,同比增长31.8%。
ET5大卖背后是蔚来难以回避的品控问题。11月底,蔚来ET5车主胡先生在社交平台发帖称,自己新买的车才跑了100多公里,在开启“锁车自动关窗”功能后,发现左后窗户一直处于半开状态,无法自动升窗。还有博主反映,ET5车窗经常会翘边,有时候关不严,在车内老是能听见风吹的那种哨声。
胡先生告诉南都记者,发现问题后,他联系了蔚来售后人员,售后人员称是软件问题,可以上门取车维修。目前,车子问题已经处理好了,软件升级后,左后窗就恢复正常了。
对此,蔚来汽车销售人员向南都记者表示,目前暂未收到车主相关问题的反馈,这种情况非常少见,很有可能是因为偶发性的软件故障,升级软件后会恢复正常。若出现类似问题,车主可以联系蔚来汽车售后人员,公司会派专员及时处理。
采写:南都记者 方诗琪