12月20日,蔚来控股有限公司的信息安全委员会负责人、首席信息安全科学家“卢龙”在蔚来官方社区发布《关于数据安全事件的声明》,表示12月20日,有不法人士在网上出售蔚来相关数据,针对部分用户数据遭窃取并被勒索一事,蔚来汽车回应原文如下:
“2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
据声明所述,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。我们对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。
窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。我们将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取买卖行为。
公司再次对此次事件表示歉意。蔚来有责任并有义务使用一切手段保护用户信息安全,事件发生后,我们对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。我们将汲取教训,加强技术力量,不断提升蔚来信息系统的安全防护能力,以充分保护用户信息安全。”
事件起因:
12月11日,蔚来汽车收到一封来自黑客团队的电子邮件,邮件称他们团队取得了蔚来汽车的公司内部数据,并要求蔚来汽车支付等价225万美元的比特币,用作保证数据不泄露的赎金。
而此前蔚来APP也出现了一伙声称盗取了用户个人信息的团队,通过无敌-电动网收集到的聊天记录可以看到,该团伙声称他们破解了蔚来大量数据,并给了蔚来两次机会,但蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户。
该团伙称他们决定有偿曝光,需要的可以邮件联系他们,其中破获的数据包括:
1、蔚来内部员工数据22800条,包含总裁到一线员工,从事新能源招聘和猎头工作的,可以关注,售价0.15 比特币;
2、车主用户身份证数据399000条,从事黑灰产的可以关注,售价0.25比特币;
3、****125000条,售价0.15比特币;
4、用户地址数据650000条,售价0.15比特币;
5、4850000条蔚来注册用户数据,售价0.15比特币,蔚来竞争对手可以关注;
6、10000条企业及企业代表联系人数据,售价0.1比特币;
7、490000条订单及90000条退单数据,蔚来竞争对手可以关注,售价0.15比特币;
8、车主亲密关系数据360000条,挖掘社会关系的可以关注,售价0.2比特币;
9、车主贷款数据170000条,售价0.1比特币;
10、因为数据较多,参考封面,仅挑选部分,其他如子业务数据,没有列出,全部数据打包价1比特币。
【PS:以上数据均源自网络。】
本文作者:无敌*电动网(modiauto.com.cn)
如果上述被窃的数据来源真实,那么会有众多消费者的个人信息面临泄露风险,虽然蔚来汽车表示对因本次事件给用户造成的损失承担责任,但具体怎么承担责任还不得而知,关于蔚来用户数据遭窃的最新进展,无敌电动网将持续关注。
