威来用户数据被盗并被勒索225万美元

雷达金融生产 文｜孟帅 编｜深海

12月20日，蔚来用户数据被盗被勒索的消息在网络上爆炸。

据了解，蔚来被盗的数据是2021年8月前部分用户的基本信息和车辆销售信息，对蔚来提出的勒索目标等于225万美元的比特币。蔚来已成立专门小组进行调查和处理，并首次向相关监管部门报告此事。

事实上，这类汽车公司的数据泄露并不是唯一的例子。通用汽车、菲亚特克莱斯勒、福特、大众、丰田、沃尔沃等汽车制造商都参与了数据泄露风暴。

江西新能源技术职业学院新能源汽车技术研究所所长张翔认为，汽车公司不能完全避免类似的数据泄露事件，只能尽可能提高安全水平，增加黑客攻击成本。

值得注意的是，除了数据泄露风暴外，威来第三季度净亏损进一步扩大。与此同时，其毛利率指标也恶化，2022年交付了15万辆汽车KPI它很可能无法完成。为了尽可能接近交付目标，威来推出了刺激销售的补贴活动。

01

威来用户数据被盗并被勒索225万美元

12月20日，威来首席信息安全科学家、信息安全委员会负责人卢龙在威来官方社区发布公告，称12月20日，有犯罪分子在网上出售威来相关数据。

此外，根据网上发布的一张照片，一些人声称最近破解了威来的大量数据，并给了威来两个机会，但威来宁愿花数千万歌手，也不愿买断这些数据来保护车主和用户，所以我们决定付费曝光。

根据该人列出的内容，蔚来员工数据、订单数据、用户和企业代表的联系人数据不乏其数据，还包括车主身份证、用户地址、车主亲密关系、车主贷款数据等极其私密的信息。

此人还明确标明了这些数据的价格，如22800名员工的数据，从总裁到一线员工，价格为0.15比特币；与车主身份证相关的数据为3.9万，价格为0.25比特币。

早在12月11日，威来就收到了一封外部电子邮件，声称拥有威来的内部数据，并以225万美元等额勒索威来。

蔚来公司收到勒索邮件后，立即成立专门小组进行调查和处理，并立即向相关监管部门报告。经初步调查，被盗数据为2021年8月前部分用户基本信息和车辆销售信息。

事件发生后，威莱对公司的网络信息安全进行了调查和加强，以避免此类事件的再次发生。威莱承诺对事件给用户造成的损失负责，并为事件道歉。威莱表示，窃取和销售此类数据是违法犯罪行为，公司严厉谴责，坚决不向网络违法犯罪低头。

第二天，威来在香港证券交易所宣布，威来已在中国就该事件发表公开声明，提供了专门的热线和电子邮件地址，以回答用户关于数据泄露事件的问题。

据威莱首席信息安全科学家、信息安全委员会负责人卢龙介绍，该事件不涉及车辆使用中产生的数据，如驾驶轨迹、驾驶舱数据等，也不会影响车辆的驾驶或远程控制。数据泄露的原因和影响范围仍在进一步调查中。

蔚来创始人、CEO李斌在威来官方社区表示，保护用户信息安全是威来的责任。他没有向大家道歉。威来将对事件给用户带来的损失负责。同时，威来将与有关部门合作，对事件进行深入调查，并对盗窃和销售事件相关数据的违法犯罪行为进行调查。

雷达金融注意到，在威来社区，一些网民报告说，他们最近收到了更多的骚扰电话。一些网民甚至表示，他们在12月21日收到了一个欺诈电话，称他们可以为威来车主提供30万至100万元的独家贷款。

对此，蔚来客服表示，如果近期遇到涉及蔚来的陌生电话，要谨慎，不要透露个人信息。

一些网民在相关公告下的评论区表示，理性看待互联网时代是不可避免的，希望威莱加强网络安全，避免类似事件；一些网民表示，他们决心不向邪恶势力鞠躬，打击和严厉惩罚灰色行业的个人数据。

一位自称兼顾公司信息安全的网友认为，信息安全与工作效率自然相反。为了安全，需要增加更多的防御层次。如果每次正常工作都需要通过防御网，会影响工作效率，但相反，可能会受到像苍蝇一样恶心的勒索病毒的攻击。

该网友还指出，信息安全管理应符合要求ISO27001要求首先识别信息的安全级别。例如，泄露的涉及用户基本信息的数据应标记为最高级别。根据等保三级要求，甚至数据库存储也应加密。同时，威莱发生的信息安全事件不仅可以归咎于外部，而且内部原因是，必须有相应的内部问责机制。

02

很多汽车厂都有用户数据泄露

雷达财经了解到，早在去年10月27日，威来就邀请300名用户参加其组织的在线沙龙，主题是数据和网络安全。

在沙龙上，威来数字系统部负责人王启研和产品安全部负责人卢龙与用户分享了威来在信息安全领域的工作，介绍了威来在车辆端、云端和流程管理层面建立的安全防御体系。

据报道，威来产品安全团队是一支全球团队，包括中国、美国、欧洲一流的安全专家、全球研发团队和本地化运营团队，主要负责所有产品的系统和数据安全、核心安全能力研发和产品生命周期安全管理。

雷达金融了解到，威来数据安全原则包括用户知情权、非必要收集、用户和重要数据不出境、最小权限、数据分类管理、数据传输和存储加密。

负责数字账户安全的产品经理和经验经理Hao Zhu智能网络汽车在给人们带来极大便利、舒适和高效的同时，也面临着信息安全和数据保护的挑战。威莱面临的信息安全问题跨越了虚拟和物理两个世界，不仅存在互联网和虚拟领域的信息安全和隐私保护风险；信息安全对汽车的功能安全影响很大，甚至可能影响每个人的人身和财产安全。

据Hao Zhu介绍，威莱一直在实施整个公司范围内的数据分级保护。与用户相关的数据一直是最高级别的秘密信息，从收集、传输、使用和处理，到存储、销毁的整个生命周期，将进行风险分析，并进行相应的改进，以确保所有在线系统和离线使用场景中的数据都能得到适当的保护。

然而，今年4月，威莱在内部通知中表示，自2021年2月以来，威莱集群服务器管理员张利用职务，利用以太坊挖掘公司内部服务器，相关行为严重违反公司规定，涉嫌违反计算机信息系统非法控制，对公司系统安全和商业信息安全产生负面影响。

事实上，在当今数据泛滥的互联网时代，汽车公司与数据安全相关的案例并不少见。早在2017年7月，据《纽约时报》报道，网络安全公司UpGuard安全研究人员透露，100多家汽车公司，包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯、大众汽车，其秘密数据Level One Robotics曝光在公共服务器上。

去年6月，大众作为汽车行业巨头之一，又泄露了330万客户的数据。数据泄露的原因是供应商在2019年8月至2021年5月将客户数据无保护留在互联网上，包括客户和潜在买家的姓名和地址个人信息，如电话号码。

去年12月，沃尔沃汽车也陷入了数据泄露风暴。当时，沃尔沃汽车表示，它已经调查了一个网络安全漏洞和一些研发数据盗窃。到目前为止，调查证实，该公司的一些研发资产在黑客入侵期间被盗，这可能会影响该公司的运营。

今年10月，日本汽车品牌丰田也发生了类似事件。丰田汽车表示，在其中T－Connect约29.6万条客户信息可能被泄露，受影响的客户是自2017年7月以来使用电子邮件地址注册服务网站的个人用户。

江西新能源技术职业学院新能源汽车技术研究所所长张翔告诉雷达金融，汽车公司的数据量普遍较大。随着汽车向智能化发展的不断趋势，智能汽车的数据量比传统汽车要大。对于这些数据，行业内的一般做法是将其存储在云中，而不是存储在本地。由于云存储，成本低，安全性好，效率高，但也带来了一定的安全隐患。汽车公司通常需要支付更高的费用来提高数据的安全水平。

对于黑客来说，他们恶意攻击汽车公司的数据主要是为了通过勒索获得非法利润。至于如何避免汽车使用数据的泄露，汽车公司不能100%避免。汽车公司只能尽可能提高安全水平，增加黑客攻击成本，增加黑客攻击用户使用数据的难度，然后主动放弃攻击。张翔进一步补充道。

雷达金融了解到，国内汽车数据安全保护法律法规，如汽车数据安全管理（试行）、信息安全技术网络汽车收集数据安全要求、进一步加强新能源汽车企业安全体系建设指导等相关文件。

这些文件对完善网络安全体系提出了更多要求，要求汽车企业加强网络安全保护，加强数据安全保护，实施个人信息安全保护。

03

年度交付目标仅完成70%

财务报告显示，威来第三季度收入达到130.02亿元，同比增长32.6%。然而，威来第三季度的净亏损高达41.11亿元，比去年同期的净亏损高达392.1%，比第二季度的净亏损高达49.1%。

与此同时，汽车毛利率同比下降，环比下降。第三季度，蔚来汽车毛利率为16.4%，较去年同期下降160个基点，较上季度下降16.7%。

汽车销售毛利率的下降，加上各种因素，进一步影响了威来的整体盈利能力。今年第三季度，威来总毛利率为13.3%，而去年第三季度，威来总毛利率为20.3%，同比下降700个基点。

至于毛利率的下降，威莱解释说，这主要是由于新能源汽车销售收入下降、汽车毛利率下降和能源和服务网络投资扩大销售毛利率下降。

在交付数据方面，威来第三季度交付31607辆，同比增长29.3%，创下威来单季度交付量新高。去年11月，威来交付了14178辆车。虽然威来本月交付量同比增长30.3%，但仍不如哪吒和理想车同期交付15072和15034辆。

如果从年初开始计算，威来年累计交付量达到10671辆。在李斌看来，年销量10万辆是造车新势力盈利的重要分水岭。李斌还表示，威来品牌将在2023年第四季度实现盈亏平衡。

值得注意的是，威来此前为2022年设定的交付目标超过15万辆。威来虽然成功闯入年交付量10万辆俱乐部，但目标只有70%左右。换句话说，2022年只剩下最后一个月了，威来离年交付量还有很长的路要走KPI还有43329个缺口，几乎不可能完成。

中国乘用车工业联盟秘书长张秀阳认为，销售和毛利率是新能源汽车公司最重要的两个数据。对于销售未达到预期的企业，他们可能会选择牺牲毛利润来降低销售价格。

为了进一步促进销售的增长，威来在11月初推出了购车补贴计划，即在年底前确定威来ES8、ES6、EC6、ET7、ES并锁定单排生产，仍可享受2022年新能源汽车购置补贴。

虽然2022年即将结束，但2023年威来汽车的任务依然艰巨。根据之前的计划，威来计划在明年上半年推出5款新车。如果一切顺利，威来将在当时销售8款车型，这将极大地考验其研发创新和生产能力的综合实力。