包括車主親密關系在內的700多萬條蔚來汽車數據,被盜取后在網上明碼標價銷售。多名行業內人士指出,此事件為汽車行業智能化轉型敲響了警鐘,蔚來本是造車新勢力,都在數據管理上出現問題,更何況那些不就擅長智能化領域的傳統車企。
01
700多萬條蔚來數據明碼標價銷售
近(jin)日,有人在網上明碼(ma)標價,銷售(shou)蔚(yu)來汽車數據(ju)。
售賣者稱其破解了蔚(yu)(yu)來大量數(shu)據,給(gei)了蔚(yu)(yu)來兩(liang)次(ci)機會,但是蔚(yu)(yu)來寧愿(yuan)花費千萬(wan)請歌手(shou),也(ye)不(bu)愿(yuan)意(yi)買斷這(zhe)部分數(shu)據,保(bao)護車(che)主和用戶,因(yin)此(ci)其決定有償(chang)曝��������(pu)光。
作者詳(xiang)細列出了(le)9條數據(ju)的標(biao)價(jia),并詳(xiang)細地給出了(le��������)建議購買對象。其最后還稱,因為(wei)數據(ju)較多,全部(b�������u)數據(ju)打(da)包(bao)價(jia)1個比特幣。
這些數(shu)(shu)據(ju)(ju)包括蔚來員工數(shu)(����shu)據(ju)(ju)、訂單數(shu)(shu)據(ju)(ju)、用戶及企(qi)業代表聯系(xi)人數(shu)(shu)據(ju)(ju),還涉及車(che)主身(shen)份(fen)證、用戶地址(zhi)、車(che)主親(qin)密關系(xi)、車(che)主貸款數(shu)(shu)據(ju)(ju)等隱私信息。據(ju)(ju)統計,僅在網上售(shou)賣的(de)數(shu)(shu)據(ju)(ju),排除重復的(de)可能(neng)性(xi������ng)外,共有716.68萬條。
1 蔚來內部員(yuan)工數據2.28萬條,包含總(zong)裁到一線員(yuan)工,從(cong)事新(x�����in)能源招(�����zhao)聘和獵頭工作的,可以(yi)關注,售(shou)價0.15比特幣。
2 車主(zhu)用戶身份證數(shu)������據39.9萬條,從事黑(hei)灰產的可以關注,售價(jia)0.25比特����(te)幣。
3 (數(shu)據(ju)名稱(cheng)不詳)12.5萬條,售����(shou)價0.15比特�����幣(bi)。
4 用戶地(di)址(zhi)數(shu)據(ju)65萬條(tiao),售價0.15比特幣。
5 蔚(yu)來注(zhu)冊用戶數據485萬條,售價(�����jia)0.15比特幣,蔚(yu)來競爭對手(������shou)可以關(guan)注(zhu)。
6企(qi)業及企(qi)業代表聯系人數據1萬條,售價0.1比特幣。
7訂單49萬條及9萬條退單數(shu)據(ju),蔚來競(jing)爭對手(shou)可(ke)以關注,售價0.15比特幣(bi������)。
8 車主親(�����qin)密關(guan)系(xi)數據36萬條,挖掘社(she)會關(guan)系(xi)的可(ke)以關(guan)注,售價0.2比(bi)特幣(bi)。
9 車主貸(dai)款數據(ju)17萬條,售價0.1比特幣。
02
蔚來創始人李斌道歉:我們沒有做好
12月(yue)20日,蔚來首席信息安(an)全科學家、信息安(an)全委員會負責(ze)人(ren)盧(lu)龍,在蔚來官方社區(qu)發布公(gong)告稱,2022年(nian)12月(yue)11日,蔚來公(gong)司收到外部(bu)郵件,聲稱擁有蔚來內部(bu)數據,并以泄露數據勒索(suo)225萬美元等額比�������特(te)幣,約合人(ren)民幣1570.5萬元。
“在(zai)收到(dao)勒索郵件后(hou),公司當天即成(cheng)立專項小組進(jin)行調查與應對,并第一時間向有關監管部門報告此(ci)事件。”蔚來汽(qi)車在(zai)聲明中(zhong)稱,經初步調查被竊取數據為2021年8月(yue)之前(qian)的部分(fen)�������用戶基(ji)本(ben)信息和車輛(liang)銷售信息。
蔚來汽(qi)車聲(sheng)明中還說, 竊(qie)取(qu)、買賣此(ci)類數據是違法犯罪(zui)行為,公(gong)司對此(ci)予以嚴厲譴責,也堅決不會(hui)向(xiang)�����網絡犯罪(zui)行為低頭。蔚來將協同有關�����(guan)執(zhi)法部(bu)門深入調查此(ci)次事件,并依法堅決打擊相(xiang)關(guan)的數據竊(qie)取(qu)、買賣行為。
對于是否因翻越蔚來防火墻(qiang)導致(zhi)數據失竊,蔚來汽(qi)車(che)高層回應(ying)����媒體稱,目前數據被竊取的情況還在調查中(zhong)。
針對可(ke)能造成的用戶(hu)損失,蔚來汽車客(ke)服人員(yuan)稱(cheng),不會做(zuo)出(chu)主動(dong)賠償,目前(qian)尚未出(chu)臺賠償方(fang)案(an),但對客(ke)戶(hu)的反饋(kui)會記錄(lu)再(zai)案(an),且會對因本(b���������en)次事件給用戶(hu)造成的損失承擔責(ze)任。
蔚來汽車客(������ke)服同時(shi)提醒,如近期遇(yu)到涉及蔚來的陌生(sheng)來電,需(xu)小心謹慎,勿透露個人信息。
蔚來汽車信息安全(quan)委(wei)員會負責人(ren)盧龍稱,事件發生(sheng)�����后,對公司網絡信息安全(quan)進行(xing)了排(pai)查與強(qiang)化(hua)。
當晚(wan),蔚來創始(shi)人(ren)、CEO李斌在蔚來社區中道(dao)歉。
“非常抱歉發生(sheng)這樣(yang)的事(shi)。保護(hu)好用戶(hu)信息安全是我(wo)們(men)的責任,我(wo)們(m�����en)沒有做好,向大家深表(biao)歉意,會(hui)對此(ci)次事(shi)件(jian)給用戶(hu)帶(dai)來的損失承擔(dan)責任。”
李(li)斌稱,公司不(bu)會(hui)與不(bu)法行為妥協(xie),也(ye)請大(da)家及時提供線索�������(suo)。
盧龍(long)在社區中(zhong)稱,本次事件不涉及車(che)輛使用中(zhong)產生的數據,比������如行車(che)軌跡、座(zuo)艙(cang)數據,也不影(ying)響車(che)輛的架乘或遠程(cheng)控制。
03
數據管理存在問題,打擊用戶信任度
蔚來社區上述聲(sheng)明評論(lun)區下方,已有將近1000條用戶評論(lun),數百條點�����(dian)贊(zan)�����。
圖
大多數(shu)用戶關(guan)注�������的問題是:數(shu)據如(ru)何被(bei)竊取(qu)的?哪些數(shu)據被(bei)泄(xie)露?泄(xie)露到了何種程度?是否(fou)已經止損?會造(zao)成什(shen)么影(ying������)響?如(ru)何賠償?如(ru)何防止類似事(shi)件再發生?
還有車(che)主直�����接要求賠償付錢,也有車(che)主諷刺蔚來(lai)汽車(che)多多邀(yao)請李榮(rong)浩(hao)再(zai)唱幾首歌曲(qu)。
很多(duo)車(che��������)主(zhu)反(fan)饋信息顯示,他們(men)近日接到推銷汽(qi)車(che)的電話增多(duo)。
一名蔚來汽車(che)車(che)主告訴《超源力》,他的電話設置(zhi)了防詐功能,因此(ci)一些推銷騷(sao)擾(rao)電話被�������屏蔽(bi)了,不過近日被屏蔽(bi)的電話確有增加。
“我估計我的個人(ren)信(xin)息,差不多(duo)已經(�������jing)裸(luo)奔。”上述(shu)車主在等待調查結果,但他對信(xin)息不被泄漏已經(jing)失去信(xin)心。
登陸蔚來App后,用(yong)(y�����ong)戶本人信息,主要包(bao)括積分(fen)、賬單(dan)、訂單(dan)、邀(yao)請好(hao)游(you)等內容,在(zai)������朋(peng)友一欄(lan)中可以導入通訊錄(lu),上(shang)述包(bao)括的信息主要有用(yong)(yong)車城市、地址、手機(ji)號等。
如果車(che)主(zhu)(zhu)是蔚來App辦理購車(che)手續成為深度(du)(du)用(yong)戶,車(che)主(zhu������)(zhu)在“我的證件(jian)”中可添加的信息較多(duo),包含身份證、護(hu)照、社保、行駛證、駕駛證、購車(che)額度(du)(du)證明、購車(che)指標等信息。
上述車(che)����主告訴《超(chao)源力》,他當初(chu)沒有添加(jia)過(guo)多信(xin)息(xi)(xi),一方面就是買了一輛車(che),第二平時太忙沒有時間參加(jia)活(huo)動(dong),所以,即使這次信(xin)息(xi)(xi)泄(xie)露,也就是基(����ji)本信(xin)息(xi)(xi)。
蔚來汽車遇到涉及信息安(an)(an)全(quan)、數據安(an)(an)全(quan)的(de������)事件不止這������一起(qi)。
今年4月,蔚(yu)來(lai)在一(yi)份內�������部通����知(zhi)中稱,去年9月1日,蔚(yu)來(lai)風(feng)險管理部門收(shou)到(dao)相關投訴,投訴表明(ming)該公司一(yi)名員工利用職位之便,使用公司內部服務器挖礦,時(shi)間超過(guo)一(yi)年。
蔚來(lai)在內(nei)部(bu)通知中強調,該行(xing)為已經違反法律(lv),同(tong)時也對公司系統安(a�������n)全和業務信息(xi)安(an)全產(chan)生了負�������面影響。
早在2019年,多名車(che)評人發文指責蔚������來涉嫌記錄車(che)主行程(cheng)數據,泄露私密(mi)旅程(cheng)信息。
蔚來汽(qi)車非常看(kan)重(zhong)用戶體驗,李斌一直強調改變服務用戶方(fang)式。為此,公司(si)提(ti)供了將車、樁、換(huan)電站、手機(ji)等全部云連接(jie)。李斌還(huan)投入精力���與金錢運做車電分離,推出(chu)電池(chi)是服務的Bass模式。
“這么多數據能(neng)被流出來,說�������明蔚來的(de)管理存在問題。”一名(ming)不愿(yuan)具名(ming)的(de)車企(qi)工程師稱,這個事件(jian)的(de)影響,可能(n�������eng)會打破蔚來非常重視(shi)的(de)用戶信(xin)任感。
該工程師分(fen)(fen)析稱,從(con����g)售賣的數據來看,數據已被分(fen)(fen)類處(chu)理,其中親密關系這(zhe)一類數據泄露,會讓部分(fen)(fen)車主感到擔憂。
此次事件中,數(shu)據如何被盜取?
一(yi)般(ban)而言,黑客會通過撞庫(ku)(ku)竊取數據。撞庫(ku)(ku)是(shi)黑客通過收集互聯網已泄露(lu)的(de)用戶和密碼������信息,生成對應的(de)字典表,嘗試批(pi)量登錄其他網站(zhan),得(de)到(dao)一(yi)系列可登錄網站(zhan)的(de)用戶信息。
此(ci)次泄露出來(lai)的(de)數(shu)據(ju)(ju)顯示,盜取者掌握的(de)數(shu)據(ju)(ju)權限級(ji)別很高(���gao)。另外,此(ci)次泄露數(shu)據(ju)(ju)規(gui)模之(zhi)大和層級(ji)之(zhi)高(gao),有可能是批量盜取,不排除內鬼的(de)可能性(xing)。
多(duo)名車(che)企工程師(shi)認為,這次泄露的數據(ju),多(duo)集中在(zai)個人(ren)信息層面,尚未(wei)出現車(che)輛(liang)行駛(�������shi)(shi)數據(ju),可能不會(hui)對車(che)輛(liang)安全造(zao)成影響:因(yin)為,第一,車(che)輛(liang)數據(ju)記錄性能居多(duo),一般介入行駛(shi)(shi)都會(hui)非常謹慎;第二(er),要攻(gong)擊(ji)車(che)輛(liang)駕駛(shi)(shi),需要更(geng)高的技術門檻,車(che)載安全網(wang)關也(ye)會(hui)攔(lan)截。
蔚來此(ci)次(ci��������)數據事件,公告(gao)是在被勒索(suo)后的(de)第10天發布(bu)的(de)。有車主認為(wei),告(gao)知不及時。
“這里面有個合理時間(jian)和是否存在(zai)應(ying)急告(gao)知的原因。”上(shang)海知名律師秦學(xue)勇(yong)指(zhi)出(chu),假(jia)定泄(xie)露(lu)的數(shu)(shu)據危及到(dao)行車安全(quan)等,那就算應(ying)急事件(jian),需要(yao)第一時間(jian)告(gao)知;如果泄(xie)露(lu)數(shu)(shu�����)據并不存在(zai)緊急危害,法(fa)律法(fa)規要(y������ao)求在(zai)合理時間(jian)內(nei)告(gao)知。
根據目前已知的泄露(lu)數(shu)據分析,大多涉(s�������he)及個人信息,并(bing)未出現行車安(an)全數(shu)據,因此,秦學(xue)勇認為,告知時間上蔚來并(bing)沒(mei)有(you)違規。
另外(wai),根據(ju)(ju)工信部印(yin)發(fa)的(de)《工業(ye)和(he)信息(xi)化領(ling)域數(shu)據(ju)(ju)安全(quan)管理辦法(fa)(試(shi)行)》規定,數(shu)據(ju)(ju)處理者在數(shu)據(ju)(ju)�����安全(quan)事件(jian)發(fa)生后,應(ying)(ying)當第一時間向本地區行業(ye)監管部門(men)報告(gao)(gao),對發(fa)生的(de)可����能損害用戶(hu)合法(fa)權益(yi)的(de)數(shu)據(ju)(ju)安全(quan)事件(jian),應(ying)(ying)當及時告(gao)(gao)知(zhi)用戶(hu)。辦法(fa)中并(bing)未(wei)強(qiang)制規定告(gao)(gao)知(zhi)的(de)時間限定。
另外,根據現有法(fa)律(lv)法(fa)規判定(ding),涉及(ji)個人(ren)信息主體超過(guo)10萬人(ren)的個人(ren)信息,即是重要(yao)數(shu)據。此次數(shu)據泄露數(shu)量,已經超過(guo)重要(yao)數(shu)據定(ding)義的下限,位列重要(yao)����數(shu)據��������等級。
蔚來汽車(che)在(zai)(zai)此次數據被盜取的事件中,至少存在(zai�������)(zai)管理不(bu)善的問題。
國內一家車(������che)企高管(guan)(guan)告訴《超(chao)源(yuan)力》,數(shu)據應該加(jia)密處理(li),權(quan)限管(guan)(guan)理(li)上(shang)車(che)企都比較嚴格,能(neng)夠被盜取,說(shuo)明在(�����zai)安全管(guan)(guan)理(li)和加(jia)密技術上(shang)還需要(yao)加(jia)強。
另外,汽車數(shu)(shu)(shu)據(ju)處(chu)(chu)(chu)理(li)者在(zai)數(shu)(shu)(shu)據(ju)處(chu)(chu)(chu)理(li)中堅持的原則(ze)(ze)有(you)一條是脫敏處(chu)(chu)(chu)理(li)原則(ze)(ze),即數(shu)(shu)(shu)據(ju)處(chu)(chu)(ch����u)理(li)者要(yao)盡可能進行匿名化(hua)、去(qu)標識化(hua)等處(chu)(chu)(chu)理(li)。目(mu)前,被(bei)拋到網上售賣的數(shu)(shu)(shu)據(ju),并沒有(you)做上述(shu)處(chu)(chu)(chu)理(li),要(yao)知道這些數(shu)(shu)(shu)據(ju)是去(qu)年8月之(zhi)前的數(shu)(shu)(shu)據(ju)。
“這次事(shi)件給所(suo)有車企敲響了警(jing)鐘。”上(shang)述車企高管(guan)指出,電(di�������an)動(dong)智能(neng)(neng)化轉型,不光有電(dian)動(dong)化轉型,更(geng)重(zhong)要(������yao)的智能(neng)(neng)轉型尤其要(yao)注意數據(ju)管(guan)理和(he)挖掘(jue)能(neng)(neng)力建(jian)設(she),這一點很(hen)多車企做的遠(yuan)遠(yuan)不夠(gou)。
他同(tong)時指出,此(ci)前全(quan)(quan)球知名車企(qi)也遭(zao)遇(yu)過數據安全(quan)(quan)事件(jian)。比如,法(fa)拉(la)利(li)和豐(feng)田都遭(zao)遇(yu)過汽(qi)車信息(xi)泄露事件(jian)。法(fa)拉(la)利(li)被竊(qie)取了6.99GB數據,豐(feng)田旗(qi)下的(de)T-Connect近30萬用(yong)戶的(de)個(g����e)人信息(xi)被竊(qie)取。
上述車(che)(che)企高管指出,黑客(ke)對智能汽�������車(che)(che)攻擊次數正在(zai)成倍(bei)增加,造車(che)(che)的難度(du)已經不光(guang)是車(che)(che)本(ben)身。
對(dui)于(yu)此次事件中竊取(qu)者(zhe)涉(she)嫌犯(fan)罪的認定,秦學勇指出,黑(hei)客(ke)入(ru)侵盜������(dao)取(qu)海量公民個人信(xin)息,屬(s�����hu)于(yu)非法獲(huo)取(qu)計算機信(xin)息系(xi)統數(shu)據(ju)罪;黑(hei)客(ke)將(jiang)海量信(xin)息放(fang)在(zai)網上售(shou)賣,涉(she)嫌侵犯(fan)公民個人信(xin)息罪。而(er)對(dui)用(yong)戶造成(cheng)損失的,車企將(jiang)面臨(lin)個體訴(su)訟(song)和集體公益訴(su)訟(song)。
