蔚来汽车被以泄露的数据勒索225万美元等额比特币!消息一出,行业震动。蔚来成为国内第一家用户数据被窃取的造车企业。
一时间2021年8月之前的蔚来用户也紧张起来。“这是怎么被窃取的,得查清楚。”“以后还会发生吗?”
12月20日晚,蔚来在其官方社区发布的一则声明,引发了蔚来汽车用户的讨论。蔚来在声明中表示,确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取。
具体涉及多少用户,截至目前蔚来方面仍未公布。不过,根据蔚来此前公布的数据,2018年至2021年1-7月间,蔚来累计交付超12.5万辆。
针对此事,新京报贝壳财经记者第一时间向蔚来方面询问事件调查进展和用户补偿等信息。但截至发稿未收到回复。
12月21日,新京报贝壳财经记者致电声明中提供的解答用户就数据泄露事件疑问的电话,对方工作人员表示,目前还在调查数据泄露的原因和影响范围,若用户近期接到提及蔚来的陌生电话,建议小心谨慎。对于蔚来如何补偿信息被泄露的用户、是否会给予用户相关风险提示和应对措施建议,上述工作人员未给出明确回复。
蔚来仍在调查数据泄露的原因和影响范围,李斌称将追查到底
一张流传于网络的图片显示,有人宣称“破解了蔚来大量数据”,并公布了购买的邮件地址公开叫价出售。
根据列出的信息,数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。
这些信息被明码标价,价格均以比特币为单位,如2.28万条员工数据售价0.15比特币,3.99万条车主用户身份证数据售价0.25比特币;全部数据打包售价1比特币。
“我们还在进一步调查数据泄露的原因和影响范围。”蔚来信息安全委员会负责人卢龙在蔚来官方社区表示,本次事件不涉及车辆使用中产生的行车轨迹、座舱数据等,也不影响车辆的驾乘或远程控制。
针对用户数据泄露一事,12月20日晚,蔚来创始人、董事长兼CEO李斌在蔚来官方社区致歉,并表示蔚来会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。“我们不会与不法行为妥协。” 12月21日早间,蔚来针对此事再度于港交所发布公告。
安全专家如何看?
泄露的风险点位在哪里?数据库被拖库?
民间互联网安全组织网络尖刀创始人曲子龙表示,从网传的泄露截图信息来看,黑客公布的泄露数据并不是由汽车本身产生的数据,而是在实际业务经营的过程中产生的,如员工数据、企业及企业代表联系数据、订单及退单数据、车主贷款数据这些应该是常规公司的OA及CRM数据;而车主注册身份证数据、用户注册数据、车主亲密关系数据应该源于与蔚来用户互动的车主APP。
“个人认为本次泄露大概率是产生于蔚来公司自己的‘业务管理后台’,就本次泄露事件来看,我觉得大家可以短暂地抛开蔚来是家智能汽车企业来看待,和以往的大部分互联网企业数据泄露一样,应该是某个系统存在问题导致数据库被拖库。当然到底怎么泄露的还要以蔚来公司自己的调查结果为准。”曲子龙称。
中博联智库特聘专家、黄河科技学院客座教授张翔表示,尽管黑客恶意窃取数据勒索未能成功,但这也说明蔚来的信息系统还是存有漏洞,蔚来应该提高内部信息系统的安全等级。“虽然没有绝对的数据安全,但提高安全等级、多做一些防护措施,可增加被攻击的成本和难度。”
此外,北京市京师律师事务所律师孙智阳在接受新京报贝壳财经记者采访时表示,蔚来作为众多用户的个人信息拥有者、处理者,应该按照法律建立完善的保护制度、防护措施和紧急措施等保证用户个人信息的安全存留,避免丢失泄露。
用户更关心自己哪些信息被窃取了
“无法确定自己的隐私数据是否已被泄露,也不清楚是如何泄露的,目前未收到蔚来方面的通知。”12月21日,一位于2021年8月前购车的蔚来车主告诉记者,“希望没有车主因为这个泄露遭受损失。”
“不能仅仅是道歉,不能仅仅是空洞的承担损失,应该尽快提示我们用户哪些信息被窃取了,应该做些什么。”蔚来车主李先生在接受记者采访时表示。
同日,贝壳财经记者就上述问题致电声明中提供的解答用户就数据泄露事件疑问的电话,在谈及信息被泄露的用户是否会收到企业的提醒、蔚来是否会告诉用户“泄露的基本信息包括了哪些”时,对方工作人员并未给出明确答复。
律师详解蔚来数据泄露该当何责?
“车企应该及时向用户说明调查情况。”北京市京师律师事务所律师孙智阳在接受贝壳财经记者采访时表示,用户有权对自己的个人信息进行询问,对自己的信息是否泄露具有知情权和决定权,如个人信息因蔚来的丢失给用户造成损失的求偿权,这些在个人信息法中有相关的规定保护个人信息。
孙智阳指出,车企发生类似事件,首先在内部应该紧急处理、查实问题,及时处理补救保证数据安全。对于被敲诈勒索可以报案交予公安,对于企业丢失个人信息问题如监管部门进行调查,发现企业内部个人信息保护措施不完善或没有尽到保护义务的可以给予行政处罚。
北京市中策律师事务所律师张方隅指出,用户个人信息的泄露,是信息在储存、传输等过程中信息处理者保护失当的体现。作为用户,有权对信息泄露的具体情况进行查询,尤其是涉及敏感个人信息。在蔚来的官方声明中,其明确了被泄露的信息是“2021年8月之前的部分用户基本信息和车辆销售信息”,说明对于被泄露信息的具体细节,蔚来方面也是知情的。
张方隅也指出,《个人信息保护法》第六十九条明确规定,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。车企需要证明自己在本次泄露事件中不存在过错,例如证明是不法分子窃取所致,自己在信息的保护上不存在过失等,否则将承担赔偿责任。具体的赔偿数额,根据用户因此受到的损失或者个人信息处理者因此获得的利益,或者实际情况确定赔偿数额。同时,车企可能因为违反数据安全保护义务,造成大量数据泄露被行政处罚。
近年来多家车企发生数据遭泄露事件,智能汽车需如何守住数据安全底线?
伴随汽车智能化、网联化的快速发展,以及应用场景的不断丰富,近年来,以汽车数据为核心的新安全问题日益凸显,汽车数据安全事件频发。
2021年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。同年12月,沃尔沃汽车运营的研发数据也遭遇黑客入侵,沃尔沃称在入侵期间公司有限数量的研发财产被盗,并称此次黑客攻击“可能对公司的运营产生影响”。
今年5月,通用汽车也曾发布声明称,其注意到2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。此外,今年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。
“本次数据泄露事件从侧面也反映出公司的数据安全保障还存在提升空间,随着未来辅助驾驶、自动驾驶功能的逐步实现,保障数据安全势在必行。”张方隅称。
清华大学车辆与运载学院教授杨殿阁介绍,智能汽车的数据来源非常复杂,既包括车载摄像头、激光雷达、毫米波雷达等感知的地理信息、交通信息、行人信息等外界环境感知数据,也包括驾驶员个人信息、车辆行驶轨迹、车载总线数据等车内数据。另外,手机与车机结合以后,在车上还会存储个人社交账号、支付密码、家庭信息、车架号等个人隐私数据。如果对智能汽车数据安全放任不管,会对国家和社会的安全,对个人隐私保护带来重大隐患。智能汽车需要守住数据安全底线。
中国电动汽车百人会副理事长兼秘书长张永伟指出,应当从战略高度认识智能网联汽车数据安全管理的重要性,尽快形成适应不同车型、不同技术水平的汽车数据安全整体解决方案,以引领智能网联汽车产业快速发展。
奇安信副总裁孔德亮则认为,智能网联的发展为行业带来了机遇,同时也带来了多重挑战。这个行业兴起不久,尚未成熟,电气化架构也在不断更新,从技术上还需要有更多的沉淀。另一方面,企业和机构的安全意识也要不断加强,要从车辆生产制造环节就把信息安全考虑进去,未来不仅要有防碰撞测试,还需要有信息安全的检测室。
此外,孔德亮表示,整车信息安全还需要有更多行业标准出台,一方面是强制要求车辆必须通过信息安全认证才能上市,一方面也是规定信息安全的范围。
近年来,我国也在加快制定相关法律法规,保护数据安全。其中,工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确,企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
此外,我国首部针对汽车数据安全制定的法规——《汽车数据安全管理若干规定(试行)》则首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容。上述法规规定,涉及个人信息主体超过10万人的个人信息就属于重要数据,在数据出境等方面受到限制。
无锡数字经济研究院院长吴琦认为,蔚来事件引发了人们对于平台数据安全的思考。近两年,我国通过数据安全法等法律法规已经对企业提出了要求,但目前有一部分条例主要是依靠企业的自觉性,存在“守门人”自治的情况。“因此我认为,从整个平台角度进一步约束、加强立法的角度来考虑事情是有必要的。”
新京报贝壳财经记者 张冰 罗亦丹 林子