包括車主親密關系在內(nèi)的700多萬條蔚來汽車數(shù)據(jù)��,被盜取后在網(wǎng)上明碼標價銷售。多名行業(yè)內(nèi)人士指出����,此事件為汽車行業(yè)智能化轉(zhuǎn)型敲響了警鐘���,蔚來本是造車新勢力��,都在數(shù)據(jù)管理上出現(xiàn)問題���,更何況那些不就擅長智能化領域的傳統(tǒng)車企。
01
700多萬條蔚來數(shù)據(jù)明碼標價銷售
近日���,有人在網(wǎng)上明碼標價,銷售蔚來汽車數(shù)據(jù)���。
售賣者稱其破解了蔚來大量數(shù)據(jù)�,給了蔚來兩次機會���,但是蔚來寧愿花費千萬請歌手����,也不愿意買斷這部分數(shù)據(jù)�,保護車主和用戶,因此其決定有償曝光�����。
作者詳細列出了9條數(shù)據(jù)的標價,并詳細地給出了建議購買對象����。其最后還稱,因為數(shù)據(jù)較多����,全部數(shù)據(jù)打包價1個比特幣。
這些數(shù)據(jù)包括蔚來員工數(shù)據(jù)����、訂單數(shù)據(jù)、用戶及企業(yè)代表聯(lián)系人數(shù)據(jù)�,還涉及車主身份證、用戶地址���、車主親密關系�����、車主貸款數(shù)據(jù)等隱私信息����。據(jù)統(tǒng)計�,僅在網(wǎng)上售賣的數(shù)據(jù)�,排除重復的可能性外���,共有716.68萬條�。
1 蔚來內(nèi)部員工數(shù)據(jù)2.28萬條�����,包含總裁到一線員工����,從事新能源招聘和獵頭工作的��,可以關注����,售價0.15比特幣。
2 車主用戶身份證數(shù)據(jù)39.9萬條�,從事黑灰產(chǎn)的可以關注,售價0.25比特幣��。
3 (數(shù)據(jù)名稱不詳)12.5萬條��,售價0.15比特幣��。
4 用戶地址數(shù)據(jù)65萬條,售價0.15比特幣�����。
5 蔚來注冊用戶數(shù)據(jù)485萬條�����,售價0.15比特幣��,蔚來競爭對手可以關注���。
6企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù)1萬條���,售價0.1比特幣。
7訂單49萬條及9萬條退單數(shù)據(jù)���,蔚來競爭對手可以關注����,售價0.15比特幣����。
8 車主親密關系數(shù)據(jù)36萬條�,挖掘社會關系的可以關注��,售價0.2比特幣����。
9 車主貸款數(shù)據(jù)17萬條,售價0.1比特幣���。
02
蔚來創(chuàng)始人李斌道歉:我們沒有做好
12月20日���,蔚來首席信息安全科學家、信息安全委員會負責人盧龍���,在蔚來官方社區(qū)發(fā)布公告稱��,2022年12月11日,蔚來公司收到外部郵件��,聲稱擁有蔚來內(nèi)部數(shù)據(jù)�,并以泄露數(shù)據(jù)勒索225萬美元等額比特幣,約合人民幣1570.5萬元�。
“在收到勒索郵件后,公司當天即成立專項小組進行調(diào)查與應對�,并第一時間向有關監(jiān)管部門報告此事件����?�!蔽祦砥囋诼暶髦蟹Q�����,經(jīng)初步調(diào)查被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息�。
蔚來汽車聲明中還說, 竊取���、買賣此類數(shù)據(jù)是違法犯罪行為���,公司對此予以嚴厲譴責,也堅決不會向網(wǎng)絡犯罪行為低頭�����。蔚來將協(xié)同有關執(zhí)法部門深入調(diào)查此次事件����,并依法堅決打擊相關的數(shù)據(jù)竊取、買賣行為����。
對于是否因翻越蔚來防火墻導致數(shù)據(jù)失竊����,蔚來汽車高層回應媒體稱���,目前數(shù)據(jù)被竊取的情況還在調(diào)查中�。
針對可能造成的用戶損失�,蔚來汽車客服人員稱,不會做出主動賠償�,目前尚未出臺賠償方案,但對客戶的反饋會記錄再案����,且會對因本次事件給用戶造成的損失承擔責任。
蔚來汽車客服同時提醒�����,如近期遇到涉及蔚來的陌生來電�,需小心謹慎��,勿透露個人信息����。
蔚來汽車信息安全委員會負責人盧龍稱��,事件發(fā)生后�,對公司網(wǎng)絡信息安全進行了排查與強化�。
當晚,蔚來創(chuàng)始人���、CEO李斌在蔚來社區(qū)中道歉����。
“非常抱歉發(fā)生這樣的事���。保護好用戶信息安全是我們的責任���,我們沒有做好,向大家深表歉意���,會對此次事件給用戶帶來的損失承擔責任�����?����!?/span>
李斌稱�,公司不會與不法行為妥協(xié),也請大家及時提供線索��。
盧龍在社區(qū)中稱�����,本次事件不涉及車輛使用中產(chǎn)生的數(shù)據(jù)����,比如行車軌跡、座艙數(shù)據(jù)�,也不影響車輛的架乘或遠程控制。
03
數(shù)據(jù)管理存在問題��,打擊用戶信任度
蔚來社區(qū)上述聲明評論區(qū)下方����,已有將近1000條用戶評論,數(shù)百條點贊����。
圖
大多數(shù)用戶關注的問題是:數(shù)據(jù)如何被竊取的?哪些數(shù)據(jù)被泄露�����?泄露到了何種程度�����?是否已經(jīng)止損����?會造成什么影響?如何賠償��?如何防止類似事件再發(fā)生����?
還有車主直接要求賠償付錢,也有車主諷刺蔚來汽車多多邀請李榮浩再唱幾首歌曲�。
很多車主反饋信息顯示,他們近日接到推銷汽車的電話增多���。
一名蔚來汽車車主告訴《超源力》�,他的電話設置了防詐功能,因此一些推銷騷擾電話被屏蔽了��,不過近日被屏蔽的電話確有增加�。
“我估計我的個人信息,差不多已經(jīng)裸奔���?���!鄙鲜鲕囍髟诘却{(diào)查結(jié)果��,但他對信息不被泄漏已經(jīng)失去信心����。
登陸蔚來App后,用戶本人信息����,主要包括積分、賬單�����、訂單���、邀請好游等內(nèi)容�����,在朋友一欄中可以導入通訊錄��,上述包括的信息主要有用車城市��、地址�����、手機號等��。
如果車主是蔚來App辦理購車手續(xù)成為深度用戶�����,車主在“我的證件”中可添加的信息較多���,包含身份證、護照�、社保、行駛證����、駕駛證�、購車額度證明�、購車指標等信息。
上述車主告訴《超源力》��,他當初沒有添加過多信息��,一方面就是買了一輛車����,第二平時太忙沒有時間參加活動,所以���,即使這次信息泄露�����,也就是基本信息����。
蔚來汽車遇到涉及信息安全����、數(shù)據(jù)安全的事件不止這一起�����。
今年4月�����,蔚來在一份內(nèi)部通知中稱�,去年9月1日�����,蔚來風險管理部門收到相關投訴��,投訴表明該公司一名員工利用職位之便�,使用公司內(nèi)部服務器挖礦�,時間超過一年。
蔚來在內(nèi)部通知中強調(diào)�����,該行為已經(jīng)違反法律��,同時也對公司系統(tǒng)安全和業(yè)務信息安全產(chǎn)生了負面影響���。
早在2019年�,多名車評人發(fā)文指責蔚來涉嫌記錄車主行程數(shù)據(jù),泄露私密旅程信息����。
蔚來汽車非常看重用戶體驗�,李斌一直強調(diào)改變服務用戶方式。為此�����,公司提供了將車�����、樁����、換電站、手機等全部云連接����。李斌還投入精力與金錢運做車電分離,推出電池是服務的Bass模式�����。
“這么多數(shù)據(jù)能被流出來,說明蔚來的管理存在問題�����?����!币幻辉妇呙能嚻蠊こ處煼Q�,這個事件的影響,可能會打破蔚來非常重視的用戶信任感�。
該工程師分析稱�����,從售賣的數(shù)據(jù)來看�,數(shù)據(jù)已被分類處理,其中親密關系這一類數(shù)據(jù)泄露�,會讓部分車主感到擔憂。
此次事件中����,數(shù)據(jù)如何被盜?����?����?
一般而言����,黑客會通過撞庫竊取數(shù)據(jù)��。撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息���,生成對應的字典表�����,嘗試批量登錄其他網(wǎng)站����,得到一系列可登錄網(wǎng)站的用戶信息�。
此次泄露出來的數(shù)據(jù)顯示,盜取者掌握的數(shù)據(jù)權限級別很高。另外����,此次泄露數(shù)據(jù)規(guī)模之大和層級之高,有可能是批量盜取��,不排除內(nèi)鬼的可能性�����。
多名車企工程師認為�����,這次泄露的數(shù)據(jù)�����,多集中在個人信息層面��,尚未出現(xiàn)車輛行駛數(shù)據(jù)����,可能不會對車輛安全造成影響:因為�����,第一,車輛數(shù)據(jù)記錄性能居多�����,一般介入行駛都會非常謹慎�����;第二�,要攻擊車輛駕駛,需要更高的技術門檻��,車載安全網(wǎng)關也會攔截����。
蔚來此次數(shù)據(jù)事件,公告是在被勒索后的第10天發(fā)布的���。有車主認為�����,告知不及時�。
“這里面有個合理時間和是否存在應急告知的原因?�!鄙虾V蓭熐貙W勇指出��,假定泄露的數(shù)據(jù)危及到行車安全等���,那就算應急事件�����,需要第一時間告知�;如果泄露數(shù)據(jù)并不存在緊急危害���,法律法規(guī)要求在合理時間內(nèi)告知��。
根據(jù)目前已知的泄露數(shù)據(jù)分析���,大多涉及個人信息,并未出現(xiàn)行車安全數(shù)據(jù)�����,因此���,秦學勇認為�����,告知時間上蔚來并沒有違規(guī)����。
另外�����,根據(jù)工信部印發(fā)的《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》規(guī)定�,數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后,應當?shù)谝粫r間向本地區(qū)行業(yè)監(jiān)管部門報告���,對發(fā)生的可能損害用戶合法權益的數(shù)據(jù)安全事件��,應當及時告知用戶����。辦法中并未強制規(guī)定告知的時間限定��。
另外�,根據(jù)現(xiàn)有法律法規(guī)判定���,涉及個人信息主體超過10萬人的個人信息,即是重要數(shù)據(jù)�。此次數(shù)據(jù)泄露數(shù)量,已經(jīng)超過重要數(shù)據(jù)定義的下限��,位列重要數(shù)據(jù)等級���。
蔚來汽車在此次數(shù)據(jù)被盜取的事件中���,至少存在管理不善的問題。
國內(nèi)一家車企高管告訴《超源力》��,數(shù)據(jù)應該加密處理����,權限管理上車企都比較嚴格,能夠被盜取�����,說明在安全管理和加密技術上還需要加強�����。
另外,汽車數(shù)據(jù)處理者在數(shù)據(jù)處理中堅持的原則有一條是脫敏處理原則��,即數(shù)據(jù)處理者要盡可能進行匿名化�����、去標識化等處理�。目前�,被拋到網(wǎng)上售賣的數(shù)據(jù),并沒有做上述處理��,要知道這些數(shù)據(jù)是去年8月之前的數(shù)據(jù)�����。
“這次事件給所有車企敲響了警鐘����。”上述車企高管指出�,電動智能化轉(zhuǎn)型,不光有電動化轉(zhuǎn)型��,更重要的智能轉(zhuǎn)型尤其要注意數(shù)據(jù)管理和挖掘能力建設����,這一點很多車企做的遠遠不夠��。
他同時指出�,此前全球知名車企也遭遇過數(shù)據(jù)安全事件����。比如,法拉利和豐田都遭遇過汽車信息泄露事件���。法拉利被竊取了6.99GB數(shù)據(jù)��,豐田旗下的T-Connect近30萬用戶的個人信息被竊取����。
上述車企高管指出�,黑客對智能汽車攻擊次數(shù)正在成倍增加,造車的難度已經(jīng)不光是車本身����。
對于此次事件中竊取者涉嫌犯罪的認定,秦學勇指出�����,黑客入侵盜取海量公民個人信息,屬于非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪��;黑客將海量信息放在網(wǎng)上售賣����,涉嫌侵犯公民個人信息罪��。而對用戶造成損失的���,車企將面臨個體訴訟和集體公益訴訟���。
