近日,網(wǎng)上流傳了一份關(guān)于第三方違法出售蔚來信息數(shù)據(jù)并明碼標價:其中包括蔚來內(nèi)部員工數(shù)據(jù)22800條,車主用戶身份數(shù)據(jù)近40萬條,還包括用戶地址信息、車主貸款數(shù)據(jù)等。
雖然這份信息的來源有待考證,不過蔚來還是對于近日發(fā)生的信息泄露問題進行了回應。
(資料圖片)
12月20日下午,蔚來首席信息安全科學家、信息安全委員會負責人盧龍在蔚來官方社區(qū)發(fā)布公告稱,2022年12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內(nèi)部數(shù)據(jù),并以泄露數(shù)據(jù)勒索225萬美元(當前約1570.5萬元人民幣)等額比特幣。
據(jù)盧龍透露,在收到勒索郵件后,蔚來當天即成立專項小組進行調(diào)查與應對,并第一時間向有關(guān)監(jiān)管部門報告此事件。經(jīng)初步調(diào)查,被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。
而關(guān)于具體的信息泄露渠道,蔚來并沒有進一步公布。
蔚來創(chuàng)始人李斌則回應,“非常抱歉發(fā)生這樣的事。沒有保護好用戶信息安全是我們的責任,向大家深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協(xié)同有關(guān)部門深入調(diào)查此次事件,對竊取和買賣此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底?!?/p>
值得注意的是,這也是我國車企第一次被公開的用戶個人信息泄漏。
蔚來的回應有幾層含義?
首先,在聲明中,沒有公布黑客入侵的具體途徑,或者辟謠非內(nèi)部泄露所致。對于進一步公開信息,讓用戶了解真實情況,蔚來需要同步更新的調(diào)查進展。
其次,蔚來首席信息安全科學家、信息安全委員會負責人盧龍在社區(qū)中還解釋稱,本次事件不涉及車輛使用中產(chǎn)生的數(shù)據(jù),比如行車軌跡、座艙數(shù)據(jù),也不影響車輛的架乘或遠程控制。不過,關(guān)于此后蔚來如何繼續(xù)改進,維護用戶信息安全,則沒有進一步回應。
同時,如果不是網(wǎng)絡上流傳出相關(guān)售賣信息,早在12月11日發(fā)生的黑客勒索事件,蔚來為何沒有第一時間回應并提醒用戶注意潛在風險,而是直到事件發(fā)酵才選擇發(fā)布公告,在事件處理方式上欠妥。
而在蔚來App上,很多蔚來車主也十分關(guān)心,在信息泄露后,接下來應該注意什么。
比如,車主應該提防哪些風險,怎么界定損失和數(shù)據(jù)泄露有關(guān),以及聲稱“要對用戶帶來的損失承擔責任”會如何承擔等等。
據(jù)品駕了解,有第三方數(shù)據(jù)安全技術(shù)公司正在幫助蔚來做信息安全改造,目前蔚來正在修復潛在的信息泄露風險。
用戶數(shù)據(jù)信息泄露,比我們想象的還要多
放眼國際,跨國車企的信息泄露,包括用戶個人信息泄露也不在少數(shù)。
在蔚來之前,今年汽車行業(yè)最大的用戶數(shù)據(jù)泄露來自于豐田,就在10月,豐田發(fā)現(xiàn),T-Connect網(wǎng)站源代碼的一部分被錯誤地發(fā)布在GitHub上,其中包含存儲客戶電子郵件地址和管理號碼的數(shù)據(jù)服務器的訪問密鑰。這使未經(jīng)授權(quán)的第三方可以在2017年12月至2022年9月15日期間訪問296,019名客戶的詳細信息,這造成的豐田車主數(shù)據(jù)泄露達30萬人。
不過,豐田在聲明中強調(diào),使用其T-connect服務的約29.6萬名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶編號等,但其他敏感信息如姓名、電話號碼和信用卡信息等均未受到影響。從用戶個人信息泄露程度來看,蔚來此次的影響要高于此前豐田的用戶數(shù)據(jù)泄露。
值得注意的是,關(guān)于此次事件豐田的處理方式。
根據(jù)外媒報道,豐田汽車已就此事向受影響的客戶發(fā)送了電子道歉郵件,并且建立了網(wǎng)站表單,從而使客戶可以查看自己的電子郵箱是否在可能被泄露的范圍內(nèi)。此外,豐田汽車還設立了專門的呼叫中心,以回答客戶針對信息泄露的相關(guān)問題。
2021年,大眾及奧迪也經(jīng)歷了數(shù)據(jù)泄露問題,受影響的客戶及潛在買家超過330萬人。泄露的數(shù)據(jù)包含相關(guān)客戶和潛在買家的姓名、地址和電話號碼等個人信息,美國和加拿大的90,000名客戶的“更機密”數(shù)據(jù)被泄露,包括獲得貸款。資格信息和社會安全號碼等。
關(guān)于此次事件,大眾的處理方式包括:敏感數(shù)據(jù)已暴露的個人將通過注冊代碼獲得免費信用監(jiān)控。這意味著,被暴露信息的個人,可以監(jiān)控到自己的信息是否受到損害。
其次,聘請外部網(wǎng)絡安全專家調(diào)查這起事件。
同時,為那些認為自己受到數(shù)據(jù)泄露影響的人設立了一個幫助中心。這一點可以平息更多用戶及車主的疑問。
從豐田及大眾的經(jīng)歷來看,用戶信息數(shù)據(jù)泄露,其實在汽車行業(yè)并非個例。
有媒體報道,很多車企在遭遇黑客勒索時,會選擇繳納贖金息事寧人。這種暗戳戳的交易,沒有車企會選擇主動承認,因為這意味著在面對用戶信息安全問題上,車企選擇隱瞞和妥協(xié)。
這種做法的前車之鑒就是2016年,美國網(wǎng)約車巨頭優(yōu)步(Uber)經(jīng)歷的一起重大黑客攻擊事件。因Uber前首席安全官約瑟夫·沙利文在收到匿名郵件后,第一時間選擇以發(fā)現(xiàn)安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣,并與黑客簽訂保密協(xié)議。
最終該事件被暴露,瑟夫·沙利文被起訴。
所以,蔚來在回應中稱不會支付贖金的做法,并不是與黑客硬鋼,而是這種做法并不能真正保護數(shù)據(jù)不被曝光?;ㄥX不但不能保平安,可能還犯法。
車企都擁有哪些用戶隱私數(shù)據(jù)?
相比于政府機構(gòu)、國際組織、門戶網(wǎng)站、航空公司等數(shù)據(jù)泄露重點行業(yè),最近幾年,汽車制造商的數(shù)據(jù)泄露問題也越來越普遍。
另一方面,智能汽車時代的到來,除了用戶個人信息數(shù)據(jù),5G、網(wǎng)聯(lián)化、車載傳感器所獲得的用戶行駛數(shù)據(jù),所涉及的隱私和安全問題同樣不可小覷。
國家工業(yè)信息安全發(fā)展研究中心的一項調(diào)研顯示,一輛智能網(wǎng)聯(lián)汽車每天至少收集10TB的數(shù)據(jù),不僅數(shù)量極大,而且涉及到駕乘人員的出行軌跡、習慣、語音、視頻等等,一旦遭受侵害會泄露個人隱私。
國家工業(yè)信息安全發(fā)展研究中心也建議車企,從兩個角度提升數(shù)據(jù)安全方面的能力:
一是提升核心基礎(chǔ)技術(shù)的安全可控能力,即涉及車輛本質(zhì)上的安全。
二是提升數(shù)據(jù)安全綜合防護能力,利用新一代的信息技術(shù),包括區(qū)塊鏈技術(shù)、流量檢測技術(shù)、國密技術(shù)等,提升綜合防護的能力。
蔚來此次的用戶數(shù)據(jù)信息泄露僅僅是冰山一角,也提醒整個行業(yè)關(guān)于強化技術(shù)手段和管理機制的重要性。
同時,蔚來的此次做法并沒有為國內(nèi)車企,尤其是新造車頭部企業(yè)所應該樹立的代表性。作為一家用戶企業(yè),蔚來的信息泄露之所以得到更多關(guān)注和討論,也是因為我們期待一家用戶企業(yè)可以在危機事件中拿出真誠對待用戶的樣板。
我們也將關(guān)注蔚來此次用戶信息泄露事件的后續(xù)進展。
推薦閱讀