蔚来700多万条数据被挂网上售卖：数据管理没做好

「核心提示」

包括车主亲密关系在内的700多万条蔚来汽车数据，被盗取后在网上明码标价销售。多名行业内人士指出，此事件为汽车行业智能化转型敲响了警钟，蔚来本是造车新势力，都在数据管理上出现问题，更何况那些不就擅长智能化领域的传统车企。

作者｜悟能

1、700多万条蔚来数据明码标价销售

近日，有人在网上明码标价，销售蔚来汽车数据。

售卖者称其破解了蔚来大量数据，给了蔚来两次机会，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据，保护车主和用户，因此其决定有偿曝光。

作者详细列出了9条数据的标价，并详细地给出了建议购买对象。其最后还称，因为数据较多，全部数据打包价1个比特币。

这些数据包括蔚来员工数据、订单数据、用户及企业代表联系人数据，还涉及车主身份证、用户地址、车主亲密关系、车主贷款数据等隐私信息。据统计，仅在网上售卖的数据，排除重复的可能性外，共有716.68万条。

ETH前五大质押地址占据41%的质押量:金色财经报道，据Token Unlocks提供的数据，自上海升级解锁以来，LSDFi已撼动了DeFi的格局。2,000万枚ETH质押，占总供应量的17%；前五大质押地址占据ETH 41%的质押量；Liquid Staking TVL超过了DEXes；早期阶段的TVL跨平台收入达到6.12亿美元。[2023/8/14 16:23:57]

1蔚来内部员工数据2.28万条，包含总裁到一线员工，从事新能源招聘和猎头工作的，可以关注，售价0.15比特币。

2车主用户身份证数据39.9万条，从事黑灰产的可以关注，售价0.25比特币。

312.5万条，售价0.15比特币。

4用户地址数据65万条，售价0.15比特币。

5蔚来注册用户数据485万条，售价0.15比特币，蔚来竞争对手可以关注。

6企业及企业代表联系人数据1万条，售价0.1比特币。

7订单49万条及9万条退单数据，蔚来竞争对手可以关注，售价0.15比特币。

8车主亲密关系数据36万条，挖掘社会关系的可以关注，售价0.2比特币。

9车主贷款数据17万条，售价0.1比特币。

2、蔚来创始人李斌道歉：我们没有做好

律师：Hinman文件突出SEC不是监管加密行业的合适机构，国会有必要干预:6月14日消息，加密律师兼CryptoLaw创始人 John Deaton表示，SEC前高级职员Bill Hinman于2018年的演讲文件为Ripple、Coinbase和其他面临监管机构不公正执法的实体提供了支持；这些文件不仅会影响公众舆论，而且可能会影响国会的立法讨论，因为它们引起了人们对监管机构行为和对现行法律解释的担忧。

Deaton表示，这些文件本身不会影响法官对Ripple是否将XRP作为投资合同以提供、出售的基本分析，或者XRP在二级市场的地位美国市场。但它确实加强了Ripple的论点，即Hinman发表的演讲造成了市场混乱，并阻碍了市场参与者理解现有法规禁止的内容的能力。”Deaton进一步强调了这些文件对Ether和ERC-20代币的潜在影响。这些文件可能会通过降低以太坊被SEC归类为证券的可能性。这些文件强调了国会有必要干预并在管理数字资产方面提供明确的信息，鉴于这些文件突出了明显的利益冲突和不当行为，SEC可能不是监管加密行业的合适机构。[2023/6/14 21:35:45]

12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙，在蔚来官方社区发布公告称，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币，约合人民币1570.5万元。

V神地址已抛售约500万亿枚SHIK，并将214枚WETH转至EthDev地址:金色财经报道，PeckShield监测数据显示，Vitalik Buterin地址已经抛售500,000,000,000,000枚SHIK代币，并获得超过164枚WETH（约26万美元），将214枚WETH（约33.7万美元）转移到EthDev地址。目前SHIK价格已下跌95.8%。[2023/3/7 12:46:53]

“在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。”蔚来汽车在声明中称，经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

蔚来汽车声明中还说，窃取、买卖此类数据是违法犯罪行为，公司对此予以严厉谴责，也坚决不会向网络犯罪行为低头。蔚来将协同有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。

对于是否因翻越蔚来防火墙导致数据失窃，蔚来汽车高层回应媒体称，目前数据被窃取的情况还在调查中。

针对可能造成的用户损失，蔚来汽车客服人员称，不会做出主动赔偿，目前尚未出台赔偿方案，但对客户的反馈会记录再案，且会对因本次事件给用户造成的损失承担责任。

2022年MakerDAO、Lido和SushiSwap平均年薪分别为20.5万美元、13.2万美元和25.6万美元:2月1日消息，加密数据平台Token Terminal近期发布了一项关于MakerDAO、Lido和SushiSwap的运营成本和费用结构研究。数据显示，MakerDAO、Lido和SushiSwap的平均年薪分别为20.5万美元、13.2万美元和25.6万美元。具体来看，MakerDAO 2022财年总收入3775万美元，年度开支3409万美元，年度总薪酬2350万美元；Lido 2022财年总收入3332万美元，年度开支2451万美元，年度总薪酬1095万美元；SushiSwap 2022财年总收入1675万美元，年度开支522万美元，年度总薪酬474万美元。[2023/2/1 11:40:23]

蔚来汽车客服同时提醒，如近期遇到涉及蔚来的陌生来电，需小心谨慎，勿透露个人信息。

蔚来汽车信息安全委员会负责人卢龙称，事件发生后，对公司网络信息安全进行了排查与强化。

当晚，蔚来创始人、CEO李斌在蔚来社区中道歉。

“非常抱歉发生这样的事。保护好用户信息安全是我们的责任，我们没有做好，向大家深表歉意，会对此次事件给用户带来的损失承担责任。”

CryptoPunks系列NFT近24小时交易额增幅超150%:金色财经报道，据OpenSea数据显示，CryptoPunks系列NFT近24小时交易额为195ETH，24小时交易额增涨幅度为176%，交易额排名位列OpenSea第10。[2022/8/21 12:38:10]

李斌称，公司不会与不法行为妥协，也请大家及时提供线索。

卢龙在社区中称，本次事件不涉及车辆使用中产生的数据，比如行车轨迹、座舱数据，也不影响车辆的架乘或远程控制。

3、数据管理存在问题，打击用户信任度

蔚来社区上述声明评论区下方，已有将近1000条用户评论，数百条点赞。

大多数用户关注的问题是：数据如何被窃取的？哪些数据被泄露？泄露到了何种程度？是否已经止损？会造成什么影响？如何赔偿？如何防止类似事件再发生?

还有车主直接要求赔偿付钱，也有车主讽刺蔚来汽车多多邀请李荣浩再唱几首歌曲。

很多车主反馈信息显示，他们近日接到推销汽车的电话增多。

一名蔚来汽车车主告诉《超源力》，他的电话设置了防诈功能，因此一些推销骚扰电话被屏蔽了，不过近日被屏蔽的电话确有增加。

“我估计我的个人信息，差不多已经裸奔。”上述车主在等待调查结果，但他对信息不被泄漏已经失去信心。

登陆蔚来App后，用户本人信息，主要包括积分、账单、订单、邀请好游等内容，在朋友一栏中可以导入通讯录，上述包括的信息主要有用车城市、地址、手机号等。

如果车主是蔚来App办理购车手续成为深度用户，车主在“我的证件”中可添加的信息较多，包含身份证、护照、社保、行驶证、驾驶证、购车额度证明、购车指标等信息。

上述车主告诉《超源力》，他当初没有添加过多信息，一方面就是买了一辆车，第二平时太忙没有时间参加活动，所以，即使这次信息泄露，也就是基本信息。

蔚来汽车遇到涉及信息安全、数据安全的事件不止这一起。

今年4月，蔚来在一份内部通知中称，去年9月1日，蔚来风险管理部门收到相关投诉，投诉表明该公司一名员工利用职位之便，使用公司内部服务器挖矿，时间超过一年。

蔚来在内部通知中强调，该行为已经违反法律，同时也对公司系统安全和业务信息安全产生了负面影响。

早在2019年，多名车评人发文指责蔚来涉嫌记录车主行程数据，泄露私密旅程信息。

蔚来汽车非常看重用户体验，李斌一直强调改变服务用户方式。为此，公司提供了将车、桩、换电站、手机等全部云连接。李斌还投入精力与金钱运做车电分离，推出电池是服务的Bass模式。

“这么多数据能被流出来，说明蔚来的管理存在问题。”一名不愿具名的车企工程师称，这个事件的影响，可能会打破蔚来非常重视的用户信任感。

该工程师分析称，从售卖的数据来看，数据已被分类处理，其中亲密关系这一类数据泄露，会让部分车主感到担忧。

此次事件中，数据如何被盗取？

一般而言，黑客会通过撞库窃取数据。撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站，得到一系列可登录网站的用户信息。

此次泄露出来的数据显示，盗取者掌握的数据权限级别很高。另外，此次泄露数据规模之大和层级之高，有可能是批量盗取，不排除内鬼的可能性。

多名车企工程师认为，这次泄露的数据，多集中在个人信息层面，尚未出现车辆行驶数据，可能不会对车辆安全造成影响：因为，第一，车辆数据记录性能居多，一般介入行驶都会非常谨慎；第二，要攻击车辆驾驶，需要更高的技术门槛，车载安全网关也会拦截。

蔚来此次数据事件，公告是在被勒索后的第10天发布的。有车主认为，告知不及时。

“这里面有个合理时间和是否存在应急告知的原因。”上海知名律师秦学勇指出，假定泄露的数据危及到行车安全等，那就算应急事件，需要第一时间告知；如果泄露数据并不存在紧急危害，法律法规要求在合理时间内告知。

根据目前已知的泄露数据分析，大多涉及个人信息，并未出现行车安全数据，因此，秦学勇认为，告知时间上蔚来并没有违规。

另外，根据工信部印发的《工业和信息化领域数据安全管理办法》规定，数据处理者在数据安全事件发生后，应当第一时间向本地区行业监管部门报告，对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户。办法中并未强制规定告知的时间限定。

另外，根据现有法律法规判定，涉及个人信息主体超过10万人的个人信息，即是重要数据。此次数据泄露数量，已经超过重要数据定义的下限，位列重要数据等级。

蔚来汽车在此次数据被盗取的事件中，至少存在管理不善的问题。

国内一家车企高管告诉《超源力》，数据应该加密处理，权限管理上车企都比较严格，能够被盗取，说明在安全管理和加密技术上还需要加强。

另外，汽车数据处理者在数据处理中坚持的原则有一条是脱敏处理原则，即数据处理者要尽可能进行匿名化、去标识化等处理。目前，被抛到网上售卖的数据，并没有做上述处理，要知道这些数据是去年8月之前的数据。

“这次事件给所有车企敲响了警钟。”上述车企高管指出，电动智能化转型，不光有电动化转型，更重要的智能转型尤其要注意数据管理和挖掘能力建设，这一点很多车企做的远远不够。

他同时指出，此前全球知名车企也遭遇过数据安全事件。比如，法拉利和丰田都遭遇过汽车信息泄露事件。法拉利被窃取了6.99GB数据，丰田旗下的T-Connect近30万用户的个人信息被窃取。

上述车企高管指出，黑客对智能汽车攻击次数正在成倍增加，造车的难度已经不光是车本身。

对于此次事件中窃取者涉嫌犯罪的认定，秦学勇指出，黑客入侵盗取海量公民个人信息，属于非法获取计算机信息系统数据罪；黑客将海量信息放在网上售卖，涉嫌侵犯公民个人信息罪。而对用户造成损失的，车企将面临个体诉讼和集体公益诉讼。

标签：比特币CEOConnect比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势CEO币CEO价格Connect币是什么币

中币交易所热门资讯