12月20日,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告:2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
蔚来表示,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
针对数据泄露遭勒索一事,蔚来创始人、董事长兼CEO李斌第一时间向用户致歉,并表示将协同有关执法部门深入调查此次事件,「不会与不法行为妥协」。
而对于可能造成的用户损失,蔚来汽车客服人员表示,目前尚未出台赔偿方案,不会做出主动赔偿,「对客户的反馈会记录再案,且会对因本次事件给用户造成的损失承担责任」。
但根据以往的案例,这类数据泄露事件最终往往不了了之,这其中的原因则有很多…
隐私数据被公开叫价出售
买主中还有诈骗窝点?
一张流传于网络的图片显示,有人宣称破解了蔚来大量数据,并公开叫价出售。其列出的数据包括蔚来内部员工数据2.28万条、车主用户身份证数据39.9万条,用户地址数据65万条等、蔚来注册用户数据485万条、企业及企业代表联系人数据1万条、车主亲密关系数据36万条、车主贷款数据17万条等。
仅从目前被披露的信息,此次蔚来被窃数据尚未涉及车辆安全。卢龙也在蔚来官方社区表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
尽管不会引发车端的安全问题,但这并不意味着此次事件完全不会对蔚来车主造成严重影响。
首先,从已被窃取的用户数据种类看,这些信息如若被卖给了犯罪分子,可能会发生「精准欺诈」等一系列犯罪情节。
当前,已有不少蔚来车主在公开平台「诉苦」,称最近被各种广告电话骚扰轰炸。今日(12月22日),甚至绵阳市反电信网络诈骗中心专门向蔚来车主发出提醒,称近期诈骗窝点极有可能有针对性地实施电信诈骗。
其次,汽车行业的数据收集不同于普通运营商,尤其是随着智能化水平的不断提高,人脸、语言、声音、肢体动作等各种个人感知数据都加入了其采集范畴。这种情况下,一旦汽车数据库安全系统出现可被入侵的漏洞,造成的后果可能无法想象…
车主信息「裸奔」
原因疑在蔚来内部?
数据泄露的影响范围尚不能下定论,蔚来车主们现在更关心的是:蔚来的数据为什么能被窃取?今后他们的信息安全是否能得到保障?
据悉,蔚来已对公司网络信息安全进行了排查与强化,但暂时并不清楚数据泄露原因,公司正在调查,有进一步信息将会在蔚来官方社区公告。
在蔚来之前,通用、丰田、大众以及沃尔沃等汽车品牌也都曾发生过类似的信息泄露事情。而从公开的调查原因看,问题多出在合作的服务厂商身上。
但也有行业内人士分析称,蔚来此次泄露的原因似乎来源于公司内部。
「
个人认为本次泄露大概率是产生于蔚来公司自己的业务管理后台。和以往的大部分互联网企业数据泄露一样,应该是某个系统存在问题导致数据库被拖库。
」
在近日接受媒体采访时,民间互联网安全组织网络尖刀创始人曲子龙表示,从网传的泄露截图信息来看,黑客公布的泄露数据并不是由汽车本身产生的数据,而是在实际业务经营的过程中产生的。
知名汽车行业分析师贾新光也告诉Auto Byte:「问题若出在蔚来内部,
企业必须自查。
」
用户维权不易,
赔偿又会不了了之?
除此之外,如何赔偿损失也是蔚来车主所关心的一个问题。在蔚来的社区论坛里,有用户发出了三连问:「道歉有用吗?怎么弥补?有方案吗?」
目前,李斌已出面承诺,「会对此次事件带给用户的损失承担责任」,但还未给出实际的赔偿方案。
一位本身就是蔚来ET5车主的知乎「优秀答主」Navis Li则质疑蔚来给用户的承诺「空洞」,表示「损失本来就是无法判断的,自然也没办法去计算赔偿」。
损失难以量化、官方未出台赔偿方案,作为蔚来车主,还能做什么来维权?
「用户可以提出追责,但出于多种原因,如信息不对称、难以举证自己的数据被泄露、当前的司法救济机制薄弱等,用户很难获得实质性赔偿。」有信息安全领域资深从业者表示。
此外,有蔚来车主提出,官方对于所泄露数据的具体内容不够透明化,难以确定自己的哪些信息遭到了泄露。
针对此事,蔚来已开始对公司网络信息安全作强化措施。但当前对蔚来来说,除加大数据安全投入外,如何完善出现此类问题后给用户的解决方案,比如出台怎样的赔偿方案、用户诉求如何妥善应对等,或是更重要的事情。
贾新光还对Auto Byte表示,蔚来此次的事件也给其他汽车企业再次敲响了数据安全的警钟。其实在此方面,国家也已经出台了一系列政策和管理要求。
其中,《汽车数据安全管理若干规定(试行)》明确指出,汽车数据处理者开展汽车数据处理活动,应当建立投诉举报道,设置便捷的投诉举报人口,及时处理用户投诉举报;开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,
汽车数据处理者应当依法承担相应责任。
《汽车数据安全管理若干规定(征求意见稿)》则详细提到了运营者收集和向车外提供敏感个人信息方面。例如,驾驶人指纹、声纹、人脸、心律等生物特征数据仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集;运营者收集和向车外提供敏感个人信息,应当只以直接服务于驾驶人或者乘车人为目的,用途包括增强行车安全、辅助驾驶、导航、娱乐等。
声明:
本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。
