近日,网上流传了一份关于第三方违法出售蔚来信息数据并明码标价:其中包括蔚来内部员工数据22800条,车主用户身份数据近40万条,还包括用户地址信息、车主贷款数据等。
虽然这份信息的来源有待考证,不过蔚来还是对于近日发生的信息泄露问题进行了回应。
12月20日下午,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
据卢龙透露,在收到勒索邮件后,蔚来当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
而关于具体的信息泄露渠道,蔚来并没有进一步公布。
蔚来创始人李斌则回应,“非常抱歉发生这样的事。没有保护好用户信息安全是我们的责任,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。”
值得注意的是,这也是我国车企第一次被公开的用户个人信息泄漏。
蔚来的回应有几层含义?
首先,在声明中,没有公布黑客入侵的具体途径,或者辟谣非内部泄露所致。对于进一步公开信息,让用户了解真实情况,蔚来需要同步更新的调查进展。
其次,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在社区中还解释称,本次事件不涉及车辆使用中产生的数据,比如行车轨迹、座舱数据,也不影响车辆的架乘或远程控制。不过,关于此后蔚来如何继续改进,维护用户信息安全,则没有进一步回应。
同时,如果不是网络上流传出相关售卖信息,早在12月11日发生的黑客勒索事件,蔚来为何没有第一时间回应并提醒用户注意潜在风险,而是直到事件发酵才选择发布公告,在事件处理方式上欠妥。
而在蔚来App上,很多蔚来车主也十分关心,在信息泄露后,接下来应该注意什么。
比如,车主应该提防哪些风险,怎么界定损失和数据泄露有关,以及声称“要对用户带来的损失承担责任”会如何承担等等。
据品驾了解,有第三方数据安全技术公司正在帮助蔚来做信息安全改造,目前蔚来正在修复潜在的信息泄露风险。
用户数据信息泄露,比我们想象的还要多
放眼国际,跨国车企的信息泄露,包括用户个人信息泄露也不在少数。
在蔚来之前,今年汽车行业最大的用户数据泄露来自于丰田,就在10月,丰田发现,T-Connect网站源代码的一部分被错误地发布在GitHub上,其中包含存储客户电子邮件地址和管理号码的数据服务器的访问密钥。这使未经授权的第三方可以在2017年12月至2022年9月15日期间访问296,019名客户的详细信息,这造成的丰田车主数据泄露达30万人。
不过,丰田在声明中强调,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等,但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响。从用户个人信息泄露程度来看,蔚来此次的影响要高于此前丰田的用户数据泄露。
值得注意的是,关于此次事件丰田的处理方式。
根据外媒报道,丰田汽车已就此事向受影响的客户发送了电子道歉邮件,并且建立了网站表单,从而使客户可以查看自己的电子邮箱是否在可能被泄露的范围内。此外,丰田汽车还设立了专门的呼叫中心,以回答客户针对信息泄露的相关问题。
2021年,大众及奥迪也经历了数据泄露问题,受影响的客户及潜在买家超过330万人。泄露的数据包含相关客户和潜在买家的姓名、地址和电话号码等个人信息,美国和加拿大的90,000名客户的“更机密”数据被泄露,包括获得贷款。资格信息和社会安全号码等。
关于此次事件,大众的处理方式包括:敏感数据已暴露的个人将通过注册代码获得免费信用监控。这意味着,被暴露信息的个人,可以监控到自己的信息是否受到损害。
其次,聘请外部网络安全专家调查这起事件。
同时,为那些认为自己受到数据泄露影响的人设立了一个帮助中心。这一点可以平息更多用户及车主的疑问。
从丰田及大众的经历来看,用户信息数据泄露,其实在汽车行业并非个例。
有媒体报道,很多车企在遭遇黑客勒索时,会选择缴纳赎金息事宁人。这种暗戳戳的交易,没有车企会选择主动承认,因为这意味着在面对用户信息安全问题上,车企选择隐瞒和妥协。
这种做法的前车之鉴就是2016年,美国网约车巨头优步(Uber)经历的一起重大黑客攻击事件。因Uber前首席安全官约瑟夫·沙利文在收到匿名邮件后,第一时间选择以发现安全漏洞赏金的名义向黑客支付了价值10万美元的比特币,并与黑客签订保密协议。
最终该事件被暴露,瑟夫·沙利文被起诉。
所以,蔚来在回应中称不会支付赎金的做法,并不是与黑客硬钢,而是这种做法并不能真正保护数据不被曝光。花钱不但不能保平安,可能还犯法。
车企都拥有哪些用户隐私数据?
相比于政府机构、国际组织、门户网站、航空公司等数据泄露重点行业,最近几年,汽车制造商的数据泄露问题也越来越普遍。
另一方面,智能汽车时代的到来,除了用户个人信息数据,5G、网联化、车载传感器所获得的用户行驶数据,所涉及的隐私和安全问题同样不可小觑。
国家工业信息安全发展研究中心的一项调研显示,一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等等,一旦遭受侵害会泄露个人隐私。
国家工业信息安全发展研究中心也建议车企,从两个角度提升数据安全方面的能力:
一是提升核心基础技术的安全可控能力,即涉及车辆本质上的安全。
二是提升数据安全综合防护能力,利用新一代的信息技术,包括区块链技术、流量检测技术、国密技术等,提升综合防护的能力。
蔚来此次的用户数据信息泄露仅仅是冰山一角,也提醒整个行业关于强化技术手段和管理机制的重要性。
同时,蔚来的此次做法并没有为国内车企,尤其是新造车头部企业所应该树立的代表性。作为一家用户企业,蔚来的信息泄露之所以得到更多关注和讨论,也是因为我们期待一家用户企业可以在危机事件中拿出真诚对待用户的样板。
我们也将关注蔚来此次用户信息泄露事件的后续进展。