包括車主親密關(guān)系在內(nèi)的700多萬(wàn)條蔚來(lái)汽車數(shù)據(jù)�����,被盜取后在網(wǎng)上明碼標(biāo)價(jià)銷售����。多名行業(yè)內(nèi)人士指出�����,此事件為汽車行業(yè)智能化轉(zhuǎn)型敲響了警鐘�,蔚來(lái)本是造車新勢(shì)力,都在數(shù)據(jù)管理上出現(xiàn)問(wèn)題��,更何況那些不就擅長(zhǎng)智能化領(lǐng)域的傳統(tǒng)車企��。
本文來(lái)自于微信公眾號(hào)“超源力”(ID:diandongyihao),作者:悟能�����,編輯:王新�,投融界經(jīng)授權(quán)發(fā)布。
01
700多萬(wàn)條蔚來(lái)數(shù)據(jù)明碼標(biāo)價(jià)銷售
近日�����,有人在網(wǎng)上明碼標(biāo)價(jià)����,銷售蔚來(lái)汽車數(shù)據(jù)。
售賣者稱其破解了蔚來(lái)大量數(shù)據(jù)�����,給了蔚來(lái)兩次機(jī)會(huì)�,但是蔚來(lái)寧愿花費(fèi)千萬(wàn)請(qǐng)歌手,也不愿意買斷這部分?jǐn)?shù)據(jù)��,保護(hù)車主和用戶��,因此其決定有償曝光�����。
作者詳細(xì)列出了9條數(shù)據(jù)的標(biāo)價(jià)���,并詳細(xì)地給出了建議購(gòu)買對(duì)象����。其最后還稱�,因?yàn)閿?shù)據(jù)較多,全部數(shù)據(jù)打包價(jià)1個(gè)比特幣�。
這些數(shù)據(jù)包括蔚來(lái)員工數(shù)據(jù)、訂單數(shù)據(jù)���、用戶及企業(yè)代表聯(lián)系人數(shù)據(jù)����,還涉及車主身份證�、用戶地址、車主親密關(guān)系�����、車主貸款數(shù)據(jù)等隱私信息��。據(jù)統(tǒng)計(jì),僅在網(wǎng)上售賣的數(shù)據(jù)�,排除重復(fù)的可能性外,共有716.68萬(wàn)條���。
1 蔚來(lái)內(nèi)部員工數(shù)據(jù)2.28萬(wàn)條�,包含總裁到一線員工�,從事新能源招聘和獵頭工作的,可以關(guān)注��,售價(jià)0.15比特幣�。
2 車主用戶身份證數(shù)據(jù)39.9萬(wàn)條,從事黑灰產(chǎn)的可以關(guān)注�����,售價(jià)0.25比特幣�����。
3 (數(shù)據(jù)名稱不詳)12.5萬(wàn)條����,售價(jià)0.15比特幣。
4 用戶地址數(shù)據(jù)65萬(wàn)條�����,售價(jià)0.15比特幣�。
5 蔚來(lái)注冊(cè)用戶數(shù)據(jù)485萬(wàn)條,售價(jià)0.15比特幣�����,蔚來(lái)競(jìng)爭(zhēng)對(duì)手可以關(guān)注����。
6企業(yè)及企業(yè)代表聯(lián)系人數(shù)據(jù)1萬(wàn)條,售價(jià)0.1比特幣�����。
7訂單49萬(wàn)條及9萬(wàn)條退單數(shù)據(jù)�,蔚來(lái)競(jìng)爭(zhēng)對(duì)手可以關(guān)注,售價(jià)0.15比特幣��。
8 車主親密關(guān)系數(shù)據(jù)36萬(wàn)條�����,挖掘社會(huì)關(guān)系的可以關(guān)注����,售價(jià)0.2比特幣����。
9 車主貸款數(shù)據(jù)17萬(wàn)條����,售價(jià)0.1比特幣。
02
蔚來(lái)創(chuàng)始人李斌道歉:我們沒(méi)有做好
12月20日�����,蔚來(lái)首席信息安全科學(xué)家��、信息安全委員會(huì)負(fù)責(zé)人盧龍�,在蔚來(lái)官方社區(qū)發(fā)布公告稱,2022年12月11日����,蔚來(lái)公司收到外部郵件,聲稱擁有蔚來(lái)內(nèi)部數(shù)據(jù)���,并以泄露數(shù)據(jù)勒索225萬(wàn)美元等額比特幣�����,約合人民幣1570.5萬(wàn)元��。
“在收到勒索郵件后�����,公司當(dāng)天即成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對(duì)�����,并第一時(shí)間向有關(guān)監(jiān)管部門報(bào)告此事件�����?���!蔽祦?lái)汽車在聲明中稱����,經(jīng)初步調(diào)查被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。
蔚來(lái)汽車聲明中還說(shuō)����, 竊取�����、買賣此類數(shù)據(jù)是違法犯罪行為�����,公司對(duì)此予以嚴(yán)厲譴責(zé)����,也堅(jiān)決不會(huì)向網(wǎng)絡(luò)犯罪行為低頭����。蔚來(lái)將協(xié)同有關(guān)執(zhí)法部門深入調(diào)查此次事件,并依法堅(jiān)決打擊相關(guān)的數(shù)據(jù)竊取�、買賣行為。
對(duì)于是否因翻越蔚來(lái)防火墻導(dǎo)致數(shù)據(jù)失竊���,蔚來(lái)汽車高層回應(yīng)媒體稱��,目前數(shù)據(jù)被竊取的情況還在調(diào)查中��。
針對(duì)可能造成的用戶損失��,蔚來(lái)汽車客服人員稱�,不會(huì)做出主動(dòng)賠償,目前尚未出臺(tái)賠償方案�����,但對(duì)客戶的反饋會(huì)記錄再案��,且會(huì)對(duì)因本次事件給用戶造成的損失承擔(dān)責(zé)任���。
蔚來(lái)汽車客服同時(shí)提醒,如近期遇到涉及蔚來(lái)的陌生來(lái)電���,需小心謹(jǐn)慎��,勿透露個(gè)人信息�����。
蔚來(lái)汽車信息安全委員會(huì)負(fù)責(zé)人盧龍稱���,事件發(fā)生后,對(duì)公司網(wǎng)絡(luò)信息安全進(jìn)行了排查與強(qiáng)化�����。
當(dāng)晚,蔚來(lái)創(chuàng)始人����、CEO李斌在蔚來(lái)社區(qū)中道歉。
“非常抱歉發(fā)生這樣的事���。保護(hù)好用戶信息安全是我們的責(zé)任�,我們沒(méi)有做好��,向大家深表歉意�����,會(huì)對(duì)此次事件給用戶帶來(lái)的損失承擔(dān)責(zé)任��?���!?/span>
李斌稱,公司不會(huì)與不法行為妥協(xié)�����,也請(qǐng)大家及時(shí)提供線索。
盧龍?jiān)谏鐓^(qū)中稱�����,本次事件不涉及車輛使用中產(chǎn)生的數(shù)據(jù)�����,比如行車軌跡���、座艙數(shù)據(jù)���,也不影響車輛的架乘或遠(yuǎn)程控制。
03
數(shù)據(jù)管理存在問(wèn)題�,打擊用戶信任度
蔚來(lái)社區(qū)上述聲明評(píng)論區(qū)下方�����,已有將近1000條用戶評(píng)論��,數(shù)百條點(diǎn)贊��。
圖
大多數(shù)用戶關(guān)注的問(wèn)題是:數(shù)據(jù)如何被竊取的�����?哪些數(shù)據(jù)被泄露?泄露到了何種程度����?是否已經(jīng)止損?會(huì)造成什么影響�?如何賠償?如何防止類似事件再發(fā)生��?
還有車主直接要求賠償付錢�����,也有車主諷刺蔚來(lái)汽車多多邀請(qǐng)李榮浩再唱幾首歌曲���。
很多車主反饋信息顯示�,他們近日接到推銷汽車的電話增多�。
一名蔚來(lái)汽車車主告訴《超源力》,他的電話設(shè)置了防詐功能����,因此一些推銷騷擾電話被屏蔽了,不過(guò)近日被屏蔽的電話確有增加����。
“我估計(jì)我的個(gè)人信息��,差不多已經(jīng)裸奔���。”上述車主在等待調(diào)查結(jié)果��,但他對(duì)信息不被泄漏已經(jīng)失去信心�����。
登陸蔚來(lái)App后�,用戶本人信息,主要包括積分��、賬單���、訂單�、邀請(qǐng)好游等內(nèi)容���,在朋友一欄中可以導(dǎo)入通訊錄,上述包括的信息主要有用車城市�、地址����、手機(jī)號(hào)等�。
如果車主是蔚來(lái)App辦理購(gòu)車手續(xù)成為深度用戶,車主在“我的證件”中可添加的信息較多��,包含身份證���、護(hù)照�、社保�����、行駛證��、駕駛證�、購(gòu)車額度證明、購(gòu)車指標(biāo)等信息�。
上述車主告訴《超源力》,他當(dāng)初沒(méi)有添加過(guò)多信息���,一方面就是買了一輛車�,第二平時(shí)太忙沒(méi)有時(shí)間參加活動(dòng)���,所以���,即使這次信息泄露�,也就是基本信息�����。
蔚來(lái)汽車遇到涉及信息安全����、數(shù)據(jù)安全的事件不止這一起。
今年4月�,蔚來(lái)在一份內(nèi)部通知中稱,去年9月1日��,蔚來(lái)風(fēng)險(xiǎn)管理部門收到相關(guān)投訴�����,投訴表明該公司一名員工利用職位之便��,使用公司內(nèi)部服務(wù)器挖礦�,時(shí)間超過(guò)一年�。
蔚來(lái)在內(nèi)部通知中強(qiáng)調(diào)��,該行為已經(jīng)違反法律�����,同時(shí)也對(duì)公司系統(tǒng)安全和業(yè)務(wù)信息安全產(chǎn)生了負(fù)面影響��。
早在2019年�����,多名車評(píng)人發(fā)文指責(zé)蔚來(lái)涉嫌記錄車主行程數(shù)據(jù)�,泄露私密旅程信息����。
蔚來(lái)汽車非常看重用戶體驗(yàn)���,李斌一直強(qiáng)調(diào)改變服務(wù)用戶方式��。為此�,公司提供了將車����、樁�����、換電站����、手機(jī)等全部云連接��。李斌還投入精力與金錢運(yùn)做車電分離����,推出電池是服務(wù)的Bass模式。
“這么多數(shù)據(jù)能被流出來(lái)���,說(shuō)明蔚來(lái)的管理存在問(wèn)題�?!币幻辉妇呙能嚻蠊こ處煼Q,這個(gè)事件的影響�,可能會(huì)打破蔚來(lái)非常重視的用戶信任感。
該工程師分析稱��,從售賣的數(shù)據(jù)來(lái)看�����,數(shù)據(jù)已被分類處理,其中親密關(guān)系這一類數(shù)據(jù)泄露�����,會(huì)讓部分車主感到擔(dān)憂���。
此次事件中,數(shù)據(jù)如何被盜?�?���?
一般而言,黑客會(huì)通過(guò)撞庫(kù)竊取數(shù)據(jù)�����。撞庫(kù)是黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息��,生成對(duì)應(yīng)的字典表����,嘗試批量登錄其他網(wǎng)站,得到一系列可登錄網(wǎng)站的用戶信息。
此次泄露出來(lái)的數(shù)據(jù)顯示���,盜取者掌握的數(shù)據(jù)權(quán)限級(jí)別很高��。另外��,此次泄露數(shù)據(jù)規(guī)模之大和層級(jí)之高����,有可能是批量盜取���,不排除內(nèi)鬼的可能性�。
多名車企工程師認(rèn)為�����,這次泄露的數(shù)據(jù)��,多集中在個(gè)人信息層面�,尚未出現(xiàn)車輛行駛數(shù)據(jù),可能不會(huì)對(duì)車輛安全造成影響:因?yàn)?,第一,車輛數(shù)據(jù)記錄性能居多�����,一般介入行駛都會(huì)非常謹(jǐn)慎;第二��,要攻擊車輛駕駛���,需要更高的技術(shù)門檻���,車載安全網(wǎng)關(guān)也會(huì)攔截��。
蔚來(lái)此次數(shù)據(jù)事件�,公告是在被勒索后的第10天發(fā)布的。有車主認(rèn)為���,告知不及時(shí)�����。
“這里面有個(gè)合理時(shí)間和是否存在應(yīng)急告知的原因�?�!鄙虾V蓭熐貙W(xué)勇指出�,假定泄露的數(shù)據(jù)危及到行車安全等�����,那就算應(yīng)急事件�,需要第一時(shí)間告知�����;如果泄露數(shù)據(jù)并不存在緊急危害����,法律法規(guī)要求在合理時(shí)間內(nèi)告知。
根據(jù)目前已知的泄露數(shù)據(jù)分析�����,大多涉及個(gè)人信息�����,并未出現(xiàn)行車安全數(shù)據(jù)�����,因此��,秦學(xué)勇認(rèn)為,告知時(shí)間上蔚來(lái)并沒(méi)有違規(guī)���。
另外��,根據(jù)工信部印發(fā)的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》規(guī)定��,數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后�,應(yīng)當(dāng)?shù)谝粫r(shí)間向本地區(qū)行業(yè)監(jiān)管部門報(bào)告���,對(duì)發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件���,應(yīng)當(dāng)及時(shí)告知用戶�。辦法中并未強(qiáng)制規(guī)定告知的時(shí)間限定。
另外�,根據(jù)現(xiàn)有法律法規(guī)判定,涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息��,即是重要數(shù)據(jù)�����。此次數(shù)據(jù)泄露數(shù)量���,已經(jīng)超過(guò)重要數(shù)據(jù)定義的下限�,位列重要數(shù)據(jù)等級(jí)。
蔚來(lái)汽車在此次數(shù)據(jù)被盜取的事件中����,至少存在管理不善的問(wèn)題。
國(guó)內(nèi)一家車企高管告訴《超源力》�����,數(shù)據(jù)應(yīng)該加密處理��,權(quán)限管理上車企都比較嚴(yán)格���,能夠被盜取���,說(shuō)明在安全管理和加密技術(shù)上還需要加強(qiáng)。
另外�����,汽車數(shù)據(jù)處理者在數(shù)據(jù)處理中堅(jiān)持的原則有一條是脫敏處理原則�����,即數(shù)據(jù)處理者要盡可能進(jìn)行匿名化、去標(biāo)識(shí)化等處理����。目前,被拋到網(wǎng)上售賣的數(shù)據(jù)�,并沒(méi)有做上述處理,要知道這些數(shù)據(jù)是去年8月之前的數(shù)據(jù)��。
“這次事件給所有車企敲響了警鐘���?�!鄙鲜鲕嚻蟾吖苤赋?,電動(dòng)智能化轉(zhuǎn)型�,不光有電動(dòng)化轉(zhuǎn)型,更重要的智能轉(zhuǎn)型尤其要注意數(shù)據(jù)管理和挖掘能力建設(shè)��,這一點(diǎn)很多車企做的遠(yuǎn)遠(yuǎn)不夠��。
他同時(shí)指出���,此前全球知名車企也遭遇過(guò)數(shù)據(jù)安全事件。比如����,法拉利和豐田都遭遇過(guò)汽車信息泄露事件�。法拉利被竊取了6.99GB數(shù)據(jù)���,豐田旗下的T-Connect近30萬(wàn)用戶的個(gè)人信息被竊取���。
上述車企高管指出,黑客對(duì)智能汽車攻擊次數(shù)正在成倍增加�����,造車的難度已經(jīng)不光是車本身�����。
對(duì)于此次事件中竊取者涉嫌犯罪的認(rèn)定�,秦學(xué)勇指出,黑客入侵盜取海量公民個(gè)人信息��,屬于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪���;黑客將海量信息放在網(wǎng)上售賣����,涉嫌侵犯公民個(gè)人信息罪。而對(duì)用戶造成損失的��,車企將面臨個(gè)體訴訟和集體公益訴訟�����。
