|
|
1 z. n; t- {4 I 作者丨一视财经 鹰瞳
4 v4 M/ h9 c$ N+ E, s" [4 } 编辑 | 西贝# {, E, u9 s$ Z1 @
近日,蔚来宣称用户数据被盗,公司被人勒索225万美元1500万人民币,比特币支付。; o2 A+ g% @, j0 Q) o# N/ A
勒索邮件收到9天后,蔚来才觉得对方玩针的:一张截图在网络流传,图片显示:
& Q" b9 D( ^) g! t2 |2 P 破解了蔚来汽车大量数据,并公开以比特币叫价出售。所列信息,涉及蔚来经营以及客户隐私数据,包括员工、订单、用户、企业代表联系人数据、以及车主身份证、用户地址,甚至车主亲密关系、贷款等极为隐私的数据信息。' `/ N$ }: K$ f: N
这些严重涉及个人隐私的数据信息,均以比特币为单位被明码标价:2.28万条员工数据,售价0.15比特币;3.99万条车主身份证数据,售价0.25比特币;6.5万条用户地址数据,0.15比特币;全部数据打包价1比特币。0 @6 O# y2 G2 \3 @
对方也理直气壮,说错不在我,是因为蔚来不给钱,这才有偿曝光。他认为蔚来:宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户。0 J d& x% g8 i7 _
黑了蔚来的信息,还不忘给蔚来加一项道德绑架罪。
5 F C. a' T$ x/ _9 X# x# g' a2 \! i 对此,12月20日蔚来汽车发布的声明表明态度:$ t/ i6 n( U; p- ^
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。$ [7 s: e* r! a9 `0 `
经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
8 D- b3 g9 H/ {3 z; d3 Y; l( m 据财报显示,蔚来汽车在2021年1至7月累计交付49887台,2018年全年交付量达11348台,2019年全年交付量达20565台,2020年全年交付量达43728台,目前尚没有准确数据表明官方所说的“部分用户”比例是多少,一旦有交易达成,细思极恐。8 |: s: g& r I* e( D
尽管蔚来官方宣称已成立专项小组进行调查应对,并第一时间向有关监管部门报告此事件,并协同有关部门深入调查。12月20日晚蔚来创始人、董事长李斌也于蔚来官方社区就此事致歉,但并未打消用户的担忧。, p- \% Z- ?8 c r& b" n
对此,蔚来信息安全委员会负责人卢龙表示,本次数据泄露并不影响车辆驾乘或远程控制,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),目前车企还在进一步调查数据泄露的原因和影响范围。. S) f- F, @5 ~9 D: m7 `) W- }
有相关技术分析人员表示,此次泄露的数据,大部分是存储在后端、数据库或者云端的个人数据,黑客如果想攻击控制车辆本身,还需要一定的技术门槛,而汽车本身有车载的安全网关也会进行拦截。( v$ m" c/ q0 w& m4 ?: Q
数据分析人士都明白“车主亲密关系数据”,一旦落入骗子手里就可以冒充你,给你亲人发短信,进行诈骗。6 s" U$ {- i* g3 }7 }& u
2.28万条内部员工数据,总裁到一线员工都包含在内了,这些数据对从事新能源招聘的猎头就价值千金了。
& A$ C$ T+ [9 z9 B/ v 目前,这算是智能汽车行业最严重的数据泄露事故。之前APP大量过度搜集个人信息,已经让大家在手机面前“裸奔”了,如今,智能汽车的车主们,也离“裸奔”不远了。
) o5 o$ G3 \+ e" _8 Q Y \* i) ?3 g. C 1、智能时代难逃裸奔
* R0 _0 E! J$ E6 u) l7 C u 新能源业内技术人士分析,蔚来是被黑客盯上了,估计后续还有动作;较好的做法是一方面加强数据安全,一方面花钱认怂(价格理论上应该能谈到很低,黑客通常都有契约精神)。如遇到较真的黑客会死磕到底,对车企后患无穷。# d1 J, Q9 i$ _( X( m
根据 2020 年 6 月美国国际数据管理公司 Veritas Technologies 的一项调查研究显示,44%的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。8 k9 t+ h0 B; ~( ^* `0 l; X
2017年斯巴鲁被曝软件安全漏洞,黑客入侵如履平地,一位名叫艾伦·古兹曼(Aaron Guzman)的独立研究员宣称,他在自己的心爱的2017款斯巴鲁WRX STI中发现了数量惊人的软件漏洞,制作一个能收集无线电信号的简易设备,计算出下一个滚动代码,然后将类似的无线电信号发送回目标汽车,斯巴鲁汽车的遥控钥匙系统就破解了。破解之后,数字钥匙便会无所不能,未经授权的用户——也就是非车主的路人甲——可以自由执行解锁/锁闭车门、鸣笛、获取车辆位置记录等操作。更深一步的入侵后,甚至可以拿到用户车载账户的相关信息,而攻破漏洞的这套装置,成本不到30美元。
5 J- w# ]) z5 C% ]; q/ X+ `- K 当然随着技术进步,很多漏洞被补上了。但总有人能发现新的漏洞。- u8 H' L, t7 p8 {4 |- }( A
据悉特斯拉,也经历过被“黑”。360创始人周鸿祎表示,360曾三次破解特斯拉云端的系统;2020年,特斯拉Model X的自动驾驶系统多次被黑客入侵;2021年,一名黑客入侵特斯拉汽车后曝出,车内摄像头记录车内大部分空间信息的监控录像,而陷入“隐私门”。
! A: l: D1 e/ @" E 理论上,只要联网了,任何一家企业都有被破解的可能。关键在于,黑客有没有必要去干这个事,时间成本、技术问题等。/ r. ]6 l( K3 k5 c" h1 t! ^1 T
还有业内人士认为蔚来的车主大部分是中产或所谓的有钱人,这些人的信息更值钱,“更好卖。”
% Y( |6 q2 K* u( O/ R! g 高德地图出过一个报告,统计了不同品牌汽车车主的行程轨迹,得出各品牌用户画像:奔驰用户住别墅的比例较高;宝马用户喜欢购物,经常去步行街或购物中心;沃尔沃用户爱好文艺,总是去剧场和名胜古迹等。0 w5 \7 g7 _; J ^6 T6 A
2、脆弱的安全谁来负责
$ a/ l5 m+ [5 Q3 ~) P2 ~# @/ b: z 蔚来的数据是如何泄露的?黑客?内鬼?
6 c2 u) {# O6 M, R/ b 如果是黑客盗取,并勒索车企,律师表示,窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪,判刑三年以下或拘役,情节特别严重的判刑三到七年,还会有罚金。另外,获得数据的人向蔚来索要赎金,还构成了敲诈勒索罪。
: {0 D/ |; j9 G! R: s( F- V) r" v 另外,互联网行业历史上发生的数据泄露事件,有不少就是出了内鬼,所以并不排除蔚来内部员工泄密。律师表示,如果违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,按照侵犯公民个人信息罪从重处罚。7 V- i! q3 G' r6 Y( W7 N
内部泄密一定是公司内部的信息安全机制出了问题。
' ]* l! S" w W: k" z7 l 新能源汽车的数据一般会向供应商、合作伙伴、集团其他业务等第三方共享、转让、委托处理数据的情况。大量敏感数据在多部门、组织之间频繁交换和共享,扩大了数据暴露风险,如果公司内部没有完善信息安全保护制度,数据泄露风险无疑会加大。
. {. P2 B) o1 |6 X& ^. P3 G 非法窃取数据进行敲诈勒索,必须坚决予以严厉打击,但掌握着大量用户数据的车企们,更有责任做好风险防范,承担起保护数据安全的责任,这是企业的本分。此次事件,内因是根本。希望车企不要再让车主无故“裸奔”。
: [3 F* o' [7 H" `+ f# ^1 H 新能源汽车发展势如破竹的当下,用户数据与隐私安全何在?谁能做到?7 N j3 d) ~% Z# N* @) b
估计大家会各执一词。而在数据权归属方面的一些调查则有明确倾向,大部分网民强烈支持数据收归国有,在他们看来,身份、隐私信息交给国家比交给资本家放心。
! z- c' T. {, x) m) B i 但对于那些深耕汽车智能化的车企,数据价值却难以用人民币衡量,数据是一切技术可实现的根,被封神为未来趋势的AI技术,正是数据的支撑才得以不断地进化;代表智能汽车未来的自动驾驶技术,核心更是大量驾驶数据的“喂养”。
3 u. {% W/ |5 r+ W# m9 k5 g6 ` 数据如果被接管,那长期积累的大量数据优势和相关技术突破,恐将大打折扣。, M% q0 u! B% B7 r) t
按照法律规定,企业的用户数据仍属于人民,车企只是有算法而已,决不允许随意他用。
N5 ^+ ]0 w9 B! S6 N: d9 [6 e5 @ 早在2020年,《新能源汽车产业发展规划(2021-2035)》发布就明确要健全安全保障体系,打造网络安全保障体系。
( a" w3 h/ F9 k# n. k 今年4月,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。; g3 o; A7 p, J4 M' [7 a
在推动新能源汽车行业发展的同时,汽车数据的监管也要与时俱进,日趋严格。. V6 j: i& ~; n% h- X9 R& f
新能源车企享有车主个人信息、车辆信息以及相关数据信息的红利和经济价值,所以,规范数据信息安全保护责任的落实主体主要在新能源车企。7 b; W; w, t- l+ x7 i
上述《意见》也具体明确,企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求;企业要建立健全全流程数据安全管理制度,并按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。: E. Q% f7 B/ W/ Q
在个人信息安全防护方面,《意见》明确提出,企业要制定内部管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。/ G5 |% K: \0 c# h# u
事实上,新能源汽车用户数据被窃取引发热议并非行业首次,以往每次事件都会引发新能源车信息安全保护责任话题的热议,网络安全、数据安全等新问题频发不得不重视。对于整个新能源汽车行业是一次行业警示。 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2022-12-28 22:58:51
