//蔚來汽車數(shù)據(jù)被竊遭“天價”勒索 中汽協(xié):不應(yīng)向犯罪行為妥協(xié)//

12月20日,蔚來首席信息安全科學(xué)家、信息安全委員會負責(zé)人盧龍在蔚來官方社區(qū)發(fā)布公告,2022年12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內(nèi)部數(shù)據(jù),并以泄露數(shù)據(jù)勒索225萬美元(當(dāng)前約1570.5萬元人民幣)等額比特幣。

“在收到勒索郵件后,公司當(dāng)天即成立專項小組進行調(diào)查與應(yīng)對,并第一時間向有關(guān)監(jiān)管部門報告此事件?!?/span>蔚來汽車在聲明中表示,經(jīng)初步調(diào)查被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

對于是否是因翻越蔚來防火墻導(dǎo)致數(shù)據(jù)失竊,有蔚來汽車高層對財聯(lián)社記者回應(yīng)稱,“目前數(shù)據(jù)被竊取的情況還在調(diào)查中?!?

針對可能造成的用戶損失,蔚來汽車客服人員表示,不會做出主動賠償,但“對客戶的反饋會記錄再案,且會對因本次事件給用戶造成的損失承擔(dān)責(zé)任”。蔚來客服同時表示,目前尚未出臺賠償方案,并提醒,如近期遇涉及蔚來的陌生來電,需小心謹慎,勿透露個人信息。

一張流傳于網(wǎng)絡(luò)的圖片顯示,有人宣稱破解了蔚來大量數(shù)據(jù),并公開叫價出售。其列出的數(shù)據(jù)涉及蔚來的經(jīng)營以及客戶隱私,包括蔚來員工數(shù)據(jù)、訂單數(shù)據(jù)、用戶及企業(yè)代表聯(lián)系人數(shù)據(jù),還包括車主身份證、用戶地址,甚至車主親密關(guān)系、車主貸款數(shù)據(jù)等極為隱私的信息。

這些信息被明碼標(biāo)價,價格均以比特幣為單位,比如2.28萬條員工數(shù)據(jù),售價0.15比特幣;3.99萬條車主身份證數(shù)據(jù),售價0.25比特幣;全部數(shù)據(jù)打包,售價1比特幣。

針對數(shù)據(jù)泄露遭勒索的情況,蔚來汽車態(tài)度堅決。“竊取、買賣此類數(shù)據(jù)是違法犯罪行為,公司對此予以嚴厲譴責(zé),也堅決不會向網(wǎng)絡(luò)犯罪行為低頭?!蔽祦碓诼暶髦斜硎?,將協(xié)同有關(guān)執(zhí)法部門深入調(diào)查此次事件,并依法堅決打擊相關(guān)的數(shù)據(jù)竊取、買賣行為。

“中汽協(xié)支持蔚來汽車的聲明,不應(yīng)向犯罪行為妥協(xié)。”中國汽車工業(yè)協(xié)會秘書長助理兼技術(shù)部部長王耀對記者表示。

王耀同時分析認為,以其個人初步判斷,這次不是因技術(shù)問題導(dǎo)致的數(shù)據(jù)泄露?!澳壳翱?,對于蔚來汽車用戶來說,不會出現(xiàn)系統(tǒng)性大規(guī)模數(shù)據(jù)泄露,也不會引發(fā)車輛端安全問題?!蓖跻Q。

智能化是汽車產(chǎn)業(yè)發(fā)展的重要趨勢,而數(shù)據(jù)則是實現(xiàn)智能化的基石。隨著汽車智能化程度越來越高,守好數(shù)據(jù)確保安全,關(guān)乎到用戶的權(quán)益,更關(guān)乎行業(yè)發(fā)展進程。而汽車企業(yè)作為數(shù)據(jù)運營的主體,是數(shù)據(jù)安全的主體責(zé)任。

就在12月13日,工信部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》的通知。其中指出,“工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)對數(shù)據(jù)處理活動負安全主體責(zé)任?!蓖瑫r,“工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后,應(yīng)當(dāng)按照應(yīng)急預(yù)案,及時開展應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,第一時間向本地區(qū)行業(yè)監(jiān)管部門報告,事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報告,每年向本地區(qū)行業(yè)監(jiān)管部門報告數(shù)據(jù)安全事件處置情況。工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件,應(yīng)當(dāng)及時告知用戶,并提供減輕危害措施。”

僅從目前被披露的信息,此次蔚來被竊數(shù)據(jù)尚未涉及車輛安全等,只不過因其作為智能電動品牌的代表而被業(yè)內(nèi)廣泛關(guān)注。但即便如此,切實保障數(shù)據(jù)安全已成為全社會的共識。

蔚來汽車在聲明中稱,蔚來有責(zé)任并有義務(wù)使用一切手段保護用戶信息安全,事件發(fā)生后,對公司網(wǎng)絡(luò)信息安全進行了排查與強化,以避免此類事件的再次發(fā)生。

//李斌致歉蔚來汽車數(shù)據(jù)大規(guī)模泄露 原因遭用戶質(zhì)疑//

今日(20日)下午,蔚來首席信息安全科學(xué)家、信息安全委員會負責(zé)人盧龍在蔚來官方社區(qū)發(fā)布公告,2022年12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內(nèi)部數(shù)據(jù),并以泄露數(shù)據(jù)勒索225萬美元(當(dāng)前約1570.5萬元人民幣)等額比特幣。

盧龍還透露,在收到勒索郵件后,公司當(dāng)天即成立專項小組進行調(diào)查與應(yīng)對,并第一時間向有關(guān)監(jiān)管部門報告此事件。經(jīng)初步調(diào)查,被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

盧龍稱,事件發(fā)生后,對公司網(wǎng)絡(luò)信息安全進行了排查與強化。

今日晚間,蔚來創(chuàng)始人、CEO李斌也在聲明評論區(qū)表示:“非常抱歉發(fā)生這樣的事。保護好用戶信息安全是我們的責(zé)任,我們沒有做好,向大家深表歉意,會對此次事件給用戶帶來的損失承擔(dān)責(zé)任。我們會協(xié)同有關(guān)部門深入調(diào)查此次事件,對竊取和買賣此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底。我們不會與不法行為妥協(xié),也請大家及時提供線索?!?

泄露數(shù)據(jù)或含身份證、住址、購車額度和指標(biāo)等

《科創(chuàng)板日報》記者今日致電蔚來客服,對方表示,目前暫時也并不清楚數(shù)據(jù)泄露原因,公司正在調(diào)查,有進一步信息將會在蔚來官方社區(qū)公告。

根據(jù)蔚來所述,泄露數(shù)據(jù)包含“用戶基本信息”,《科創(chuàng)板日報》記者在蔚來App看到,在用戶“個人信息”和“賬號綁定”這兩欄,目前包含用車城市、地址、手機號等信息。如果是辦理了購車手續(xù)的蔚來車主,在“我的證件”這一欄,用戶如有添加,則可能會包含身份證、護照、薪資、社保、公積金、房產(chǎn)證、行駛證、駕駛證、購車額度證明、購車指標(biāo)等更為隱私的個人信息。

與此同時,今日下午,一張關(guān)于蔚來數(shù)據(jù)的圖片在網(wǎng)絡(luò)流傳,圖片內(nèi)容稱泄露數(shù)據(jù)包含了蔚來內(nèi)部員工數(shù)據(jù)228000條,包含總裁到一線員工;車主用戶身份證數(shù)據(jù)3990000條,用戶地址數(shù)據(jù)650000等信息,勒索要價從0.1-0.25比特幣不等。

截至發(fā)稿,在蔚來官方社區(qū)的這條聲明評論區(qū)下方,已有332條用戶評論,這個數(shù)字還正在增加,多數(shù)用戶關(guān)注點在于:數(shù)據(jù)是如何被竊取的?哪些數(shù)據(jù)被泄露?泄露到了何種程度?是否已經(jīng)止損?會造成什么影響?如何賠償?如何防止類似事件再發(fā)生等。

數(shù)據(jù)安全將成車企核心競爭力之一

關(guān)于智能汽車涉及個人數(shù)據(jù)安全相關(guān)的各種問題,過去已經(jīng)引發(fā)過不少討論,但是在“新能源車企里,蔚來是第一個較大規(guī)模的數(shù)據(jù)泄露”,一位不愿具名的長期專注于網(wǎng)絡(luò)安全行業(yè)的投資人告訴《科創(chuàng)板日報》記者,“這次數(shù)據(jù)泄露,大概率不是通過車本身泄露,是通過后臺數(shù)據(jù)庫泄露的”。

在影響方面,一名新能源汽車技術(shù)人員告訴《科創(chuàng)板日報》記者,這次的數(shù)據(jù)泄露,可能不會對車輛本身造成影響。

該技術(shù)人員表示,這次是在個人信息層面的數(shù)據(jù)泄露,而對于車輛本身的標(biāo)準(zhǔn)數(shù)據(jù),涉及到駕駛安全,“這種級別的數(shù)據(jù)控制權(quán)限要求非常高,車企基本不允許無限去控制”。

“黑客要去攻擊車輛本身的話,還是有技術(shù)門檻,汽車本身有車載安全網(wǎng)關(guān),也會進行攔截?!?/span>上述投資人稱,“但就類似于電商平臺的用戶數(shù)據(jù),這次泄露的數(shù)據(jù),大部分是存儲在后端、數(shù)據(jù)庫或者云端的個人數(shù)據(jù),對于企業(yè)而言一方面是聲譽的損失,另外也可能會受到行政方面的處罰。保障智能汽車的數(shù)據(jù)安全,將成為未來車企的核心競爭力之一?!?

在蔚來的聲明評論區(qū),已有不少用戶表示,希望“車企配合用戶及時修改信息,以防車主相關(guān)資料被利用,并影響到家人朋友”,“軟件里的個人信息,能刪的趕緊刪掉”。

目前,市面上的智能汽車均搭載了大量的傳感器、攝像頭和超聲波雷達等,車主的生物識別信息、通訊錄、車內(nèi)駕駛行為等數(shù)據(jù)涉及隱私采集,車外環(huán)境數(shù)據(jù)可能涉及敏感地域、關(guān)鍵人員與裝備等。

目前,在政策層面,國家對智能汽車的安全問題已經(jīng)有相應(yīng)的立法規(guī)劃。相關(guān)部門陸續(xù)出臺了《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》、《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》、《信息安全技術(shù)網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求》等法規(guī),旨在加強在車輛數(shù)據(jù)安全、網(wǎng)絡(luò)安全、功能安全和預(yù)期功能等方面的管理。

創(chuàng)道硬科技創(chuàng)始人步日欣對《科創(chuàng)板日報》記者表示,汽車是未來新興的智能終端,所產(chǎn)生的數(shù)據(jù)不僅涉及車主乘客的隱私,還會涉及國家安全,一旦受網(wǎng)絡(luò)攻擊而泄露,被各種利益方不當(dāng)使用,會給個人利益、國家利益,造成更嚴重的后果。

步日欣還稱,對于采集的數(shù)據(jù),車企不應(yīng)該只考慮這些數(shù)據(jù)對車企的價值,更需要考慮如何安全、脫敏地使用,如何保證數(shù)據(jù)使用在安全可控的范圍內(nèi),如何利用新興的網(wǎng)絡(luò)安全技術(shù)保證數(shù)據(jù)安全性。