拒付1500万勒索费，蔚来老板深夜道歉

来源：视觉中国

记者丨杨松 鄢子为 编辑丨鄢子为

年底，李斌遇到了一件难事。

十天前，蔚来收到一封勒索邮件。黑客称，拥有蔚来内部数据，希望它支付225万美元等额比特币赎回。

蔚来创始人、董事长李斌没有付钱，称“不会妥协”。

12月20日，黑客表示，“给了两次机会，蔚来不愿意买断这部分数据来保护用户，决定有偿曝光。”

他在网上公开售卖信息。“蔚来内部员工数据2.28万条，包含总裁到一线员工，售价0.15比特币；车主用户身份证数据39.9万条，售价0.25比特币......”

20日当晚，李斌道歉，表示会“承担责任”。

信息泄露

数据泄露事件发生后，蔚来车主忧心忡忡，担心行驶中车辆被人控制，产生安全风险。

为了提供服务，蔚来收集了各类用户信息，大体可以分为基础信息、行驶信息等。

10月15日，该公司更新《蔚来汽车隐私政策》，详细说明了如何收集、使用、存储和共享用户个人信息。

假如你订购了一辆蔚来汽车，该公司会收集一系列基础信息，包括姓名、手机号码、证件号码、车辆信息、支付信息。针对家庭复购场景，蔚来还要额外收集结婚证、户口本等资料。

你提了车，坐上驾驶室后，更多信息传给公司。蔚来表示，会收集和使用“车内及车外摄像头影像资料”。理论上说，你在车里的一举一动，都是公司的数据。

该事件暴露出，蔚来没有很好地管理用户数据。该公司调查后发现，黑客窃取的信息为2021年8月前的部分用户基本信息和车辆销售信息。

就是说，此次泄露的，是用户基础信息，非行驶数据。

截至2021年8月，蔚来三款车，累计交付量达到131408辆。照此推算，即便不计当时已下单未提车的用户，涉及车主也可能以10万计。

蔚来首席信息安全科学家、信息安全委员会负责人卢龙也表示，此次信息泄露事件，不涉及车辆使用中产生的数据（如行车轨迹、座舱数据），也不影响车辆的驾乘或远程控制。

卢龙履历丰富，曾任蚂蚁集团首席安全架构师，美国东北大学终身教授。

3个月前，他公开表示，当下智能汽车的个人信息保护和数据保护面临挑战。

比如智能汽车行驶时，为了保证行驶安全，会采集各类必要的交通数据。“在这样复杂的汽车使用场景下，保证个人信息安全的任务较为艰巨。”卢龙表示。

费用不明

这家千亿市值的车企，为了完成这项“艰巨”任务，投入了哪些资源？

该公司有设置“数据安全员”岗位，要求“识别企业数据安全风险，利用技术方案保护企业数据安全”。

蔚来还表示：“针对已收集的信息，我们可能会通过技术手段进行匿名化或去标识化处理后，再进行研究、训练、统计、分析。”

财报里，蔚来没有单独披露在“网络安全”上投入的费用。

有意思的是，2022年1月，蔚来声称，自己的网络安全管理系统（CSMS）拿到了欧盟法规认证，是中国第一家获得认证的公司。从后续泄露事件表明，蔚来内部网络安全存在漏洞。

汽车行业资深分析师梅松林认为，没有任何流程，可以完全保证数据不泄露，最重要的是，让违法获取的数据没有交易市场。“没有买卖，就没有杀害；没有交易，就没有泄露。”

黑客要求的赎金，折合人民币约1500万，蔚来拒绝交付。

它表示，不会向网络犯罪行为低头，将协助有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。

数据泄露事件或会影响车主对品牌的信任。

花40多万买车的蔚来用户，注重个人隐私安全。在蔚来社区，卢龙的声明，一天获得890条评论。

年关难过

2022年前11月，蔚来交付了10.7万辆汽车，距离15万辆年度目标仍有较大差距。最后一个月，即使没有数据泄露事件，该公司也大概率无法完成目标。

销量没有突破，亏损额也创纪录。财报显示，蔚来三季度的净亏损为41.1亿元，同比增亏392.1%，环比增亏49.1%。

李斌解释称，蔚来研发投入比较大，主要在芯片、手机、子品牌、电池领域，每个季度的研发投入在30亿元以上。

原材料涨价，又少了几十亿元的毛利，他希望，多卖车分摊研发成本。

为了提高销量，蔚来推出售价更低的新品牌“阿尔卑斯”，定价在20万元到30万元之间，预计2024年量产。最新发布的ET5，价格下探到33万元。

此外，蔚来出海速度加快，今年进入到德国、荷兰、丹麦、瑞典等海外市场，欧洲本地化销售和服务团队人数已超过720人。

蔚来希望卖出更多车辆，李斌更是立下“2030年成为世界前五大汽车制造商之一”的目标。

信息安全事件，给立下大志向的李斌浇了一盆冷水。

梅松林认为，随着汽车数字化转型，“用户数据安全保护，将变得日益重要。”获取了海量数据的蔚来们，只有充分保护信息安全，才能拥有更多用户。

蔚来的2022年划上一个不光彩的句号。