蔚来数据泄漏:黑客有理,车主遭殃
蔚来汽车新品发布前4天,正面回应了数据泄漏事件。
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方APP发布声明,承认确实存在用户基本信息和车辆销售信息泄露的情况,并遭遇到了黑客约225万美元的勒索。
同日,蔚来创始人、董事长兼CEO李斌在评论区对用户表达了歉意,声明“不会与不法行为妥协”。卢龙进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。
姗姗来迟的声明让用户更加担心。蔚来的车主迫切想知道,自己的数据到底有无泄露,泄露了多少。围观的看客瑟瑟发抖,不知道下一个被黑客盯上的,是不是就是自己。
高调的黑客
根据蔚来官方回应,公司曾于12月11日收到外部邮件,对方称手中有用户信息,并索要225万美元(约1570.5万元人民币)等额比特币才肯交还。蔚来当即成立调查小组,追根溯源后发现2021年8月以前的部分用户信息确实被窃取,随后蔚来向相关监管部门报告了此事,称对用户造成的损失会给予弥补。
黑客并未因调查而有所收敛,反而玩了一招声东击西,将矛盾直指蔚来:“宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户。”“因此,我们决定有偿曝光。”
黑客不仅把敲诈说得冠冕堂皇,同时还披露了一份非常详尽的“报价单”。蔚来公司数据和车主数据均在其列。这些数据,不仅包括蔚来的经营及客户隐私、蔚来员工数据、企业代表联系人等企业机密信息,还包括车主身份证、用户地址,甚至车主贷款数据等客户私密信息。
公司数据包括:
1. 蔚来内部员工数据22800条,包含总裁到一线员工,售价0.15比特币;
3. 企业及企业代表联系人数据10000条,售价0.1比特币;
车主数据包括:
这些数据像定时炸弹盘桓在车主心头。根据蔚来此前公布的数据,2018年至2021年1-7月间,蔚来累计交付超12.5万辆。如果这些数据被别有用心的人得到,小则用户被不断骚扰、财产丢失,大则用户人身安全遭到威胁。
风高浪起
蔚来对黑客不妥协的态度值得肯定。但汽车数据安全问题再次引起广泛关注。
一般来说,数据泄漏有两方面原因:一,数据管理后台防火墙级别不高,或是有漏洞没被发现;二,黑客的级别很高,本身安全系统并不能阻挡。
如果结合事件发生的时间点、黑客的具体行为以及近半年来蔚来的遭遇,或许还能有其它推断。比如,出现内鬼,里应外合导致泄露;竞争对手特意选择新品发布前夕制造负面舆论。
对蔚来而言,以上原因皆有可能。其一,泄露数据发生在蔚来 NIO Day 2022发布会前夕,明日的发布会将公布第三代换电站,这必将加快蔚来换电站布局的速度。今年12月15日,中共中央、国务院印发了《扩大内需战略规划纲要(2022-2035年)》,其中明确支持换电站的建设。
其二,蔚来今年下半年以来已遭遇多次危机,其中不乏竞争对手的身影。先是被奥迪起诉商标侵权,后是测试车坠毁致两人罹难,接着被海外机构灰熊做空,股市大反转,除此之外,蔚来的海外布局也蚕食了很多国外车企的地盘。
临到年底,在NIO Day 2022发布会前夕,蔚来又遭遇用户数据泄露的巨大危机,如今,股市已跌8日。
智能世界的bug
当前,人们的生活越来越智能化,智能汽车几乎占据了汽车市场半壁江山,2021年,智能汽车渗透率为63.8%。
智能汽车会记录用户日常行为轨迹、消费“路线图”等数据,这种暗含车主喜好习惯的数据一旦泄露,被有心人利用,会引发严重后果。 提升管理后台的安全系统等级应该被置于智能汽车研发的首要位置。
自智能汽车浪潮兴起之后,多家企业均遭遇数据泄露危机:2021年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露。今年5月,通用汽车也曾发布声明称,2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。
信息泄露难以避免,企业应该加大数据安全保护力度,为使用者提供安全的用车环境。清华大学车辆与运载学院教授杨殿阁介绍,智能汽车的数据来源非常复杂,既包括车载摄像头、激光雷达、毫米波雷达等感知的地理信息、交通信息、行人信息等外界环境感知数据,也包括驾驶员个人信息、车辆行驶轨迹、车载总线数据等车内数据。另外,手机与车机结合以后,在车上还会存储个人社交账号、支付密码、家庭信息、车架号等个人隐私数据。如果对智能汽车数据安全放任不管,会对国家和社会的安全,对个人隐私保护带来重大隐患。智能汽车需要守住数据安全底线。
在这方面,国家已经出台相关政策。我国首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。上述法规规定,涉及个人信息主体超过10万人的个人信息就属于重要数据,在数据出境等方面受到限制。
但我们需要认识到,没有绝对安全的数据。这或许是智能时代所需面对的问题,一旦将数据交给冷冰冰的系统,就意味着要承担信息泄露的风险。
在大数据时代,用户自身也需要有一个合理的隐私期待,掌握信息安全的知识和技能,在自己预期范围内提供信息,享受互联网带来的便捷。
我告诉你msdn版权声明:以上内容作者已申请原创保护,未经允许不得转载,侵权必究!授权事宜、对本内容有异议或投诉,敬请联系网站管理员,我们将尽快回复您,谢谢合作!
