文丨TobyLu
12月20日,蔚来公开宣称用户数据遭遇盗窃,并且被黑客勒索万元。
Morketing了解到,此次被黑客盗窃的数据并不是最新的,而是在年8月之前的部分用户基本信息和车辆销售信息,对方向蔚来提出的勒索目标为万美元等额的比特币,折合人民币约万元。
对于此事,蔚来目前已成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。于是这则消息迅速在汽车圈炸开,引起了车主群体的热议。
例如车主身份、家庭住址、订单数据等,这些敏感数据落入不法分子之手,其后果不敢设想。事实上,这样的车企数据安全事件经常发生,比如丰田、大众、通用等多家品牌车企都曾经深陷数据被盗事件中,甚至有车企选择向黑客低头支付赎金,为何数据被盗或被泄露事件频频发生?以及,车企方、监管方、消费者,三方有何新的预防措施?
蔚来汽车对外公告内容
一封万元勒索信
日前,有人在网上宣称可以破解蔚来汽车用户的大量数据。“我们给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此决定有偿曝光。”
其中包括蔚来内部员工数据2.28万条、车主用户身份证数据39.9万条,用户地址数据65万条等信息,要价从0.1~0.25比特币不等。
网上流传的贩卖信息截图
以上这些数据可以说是非常敏感的,比如蔚来内部的高管团队,如果有从事新能源的猎头,完全就可以使用这些个人数据来挖人,其次是车主的个人信息,比如贷款信息,一些借贷平台就可以借机招揽生意。
随后12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙12月20日在蔚来官方社区发布公告。
称自年12月11日,蔚来公司收到外部邮件,说自己拥有蔚来内部数据,并以泄露数据为由勒索万美元(当前约.5万元人民币)等额比特币。蔚来表示,在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
12月20日晚,就数据泄露一事,蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉。
李斌在蔚来社区中的回应
李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
12月21日,蔚来又在港交所发布公告称,蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。
Morketing也注意到,在蔚来车主的APP社区,已经有车主称接到了诈骗分子的电话,主要是称可以提供几十万元的专属贷款,这些电话的归属地大部分来自海外,车主怀疑是信息泄露导致的诈骗电话增多。
多起数据被窃:
丰田、大众、通用等多家车企品牌
用户数据被盗取这件事上,老牌车企业逃不过。
就在今年10月份,丰田汽车对外发布通告,称:“发现在T-Connect服务中有条客户信息疑似被泄露,泄露的内容包含了客户电子邮件地址和客户号码,受影响的客户为年7月以来使用电子邮件地址注册该服务网站的个人用户。”
对于此次数据泄露事件,丰田将锅甩给了外包公司。
原因是T-Connect网站开发外包公司违反处理规则,错误地将部分源代码上传到GitHub上。这些源代码包含了对数据服务器的访问密钥,而这些密钥用于访问存储在数据服务器上的电子邮件地址和客户管理号码。
相较于丰田汽车的30万数据量,大众汽车涉及的泄露数据量高达万之多。
年6月份,大众汽车方面表示,约有万大众、奥迪汽车的车主和潜在客户的个人信息遭到泄露,具体信息包括:姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
同样的情况在今年5月份也发生过。
通用汽车称遭到黑客网络攻击,部分车主个人信息已泄露。其证实发现了大约个账户被盗,其中许多人都有积分余额。据悉,黑客在拿到车主的访问权限之后,将账户内的积分兑换成礼品卡,随后通用汽车发现了该情况,立即将此兑换功能禁用,这才挽回了车主的积分损失。
我们从媒体报道案例上来看,对于黑客来说,无非是用盗取来的数据要挟车企,进行赎金的勒索,如果车企不缴纳一定的赎金,他们就会在互联网上以一定的价格出售这批数据,当然也会有感兴趣的买家进行购买,用于诈骗或者其他的营销活动。
有的车企在面对黑客勒索的时候,也会选择与黑客签订保密协议,选择支付一定金额的赎金,就此花钱息事宁人,但是这次蔚来坚决不妥协的态度。“哪怕公司赔破产了,也不会在这个事情上妥协。”李斌表示,呼吁企业不向数据买卖者妥协,不进行数据买卖。
车企品牌如何筑起数据安全堡垒?
当整个汽车行业向智能化、电子化不断转型的时候,汽车已经不仅仅是代步的工具,它已经演变成大号的“智能手机”,其中数据变得日益重要。
很多汽车企业在实现电动智能化的过程中,不断的采集使用者的行为数据,用以“喂养”汽车的智能操作,比如说自动驾驶技术的日益成熟,其中很大程度有数据源源不断的参与,但是在这个过程中,会涉及到数据的转移、调取、使用,安全性如何保证?数据被泄漏的风险大大提升。
与此同时,随着行业的发展,汽车消费者的数据意识也开始慢慢觉醒。
在一份J.D.Power发布的调查报告显示,超过九成受访消费者会有倾向性地选择注重数据安全和保护个人敏感信息的汽车品牌。也就是说那些做好数据安全和个人隐私的汽车品牌,将更加受到消费者的青睐。
因此,对于汽车企业,当前如何筑起数据安全堡垒?是一项重要且紧迫的任务。
从车企自身角度来看,汽车企业自己内部是否已经建立起一整套安全合规的数据调取使用规则,此规则旨在保护客户信息,用数据合规、合法的被使用,甚至在敏感数据上进行脱敏、加密的保护。
Morketing了解到,已经有汽车企业正在构建一套安全的数据保护机制,比如长城汽车与国家互联网应急响应中心等专业机构成立安全攻坚实验室;理想汽车强化准入机制和统一账号身份管理;奇瑞汽车制定数据管理规定和数据治理的标准体系等。
从整个汽车行业角度来看,在国家层面的顶层设计上也做了法律规范。
在年,《新能源汽车产业发展规划(-)》发布就明确要健全安全保障体系,打造网络安全保障体系。
今年4月,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。
也有专门针对数据安全层面的法律法规。比如去年6月10日,《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过,已于年9月1日起正式施行。
这些法律法规的密集出台,其实是进一步明确了企业主体责任,表面数据安全在法律层面有法可依,以后汽车企业必须要将数据纳入监管之中,合法使用、安全使用数据。
从消费者自身角度来看,我们要增强数据安全意识,在智能汽车的使用过程中,发现违规、越界的信息收集行为,不要擅自留下个人相关的资料,对于有过往数据泄漏、数据违规使用历史的车企品牌,应谨慎购买。
结语
最后,其实这次蔚来的用户被盗事件,给整个汽车行业再次敲响一个警钟,数据安全没有小事,一旦发生势必会影响品牌形象、消费者安全、甚至车辆安全。
蔚来汽车选择没有向黑暗势力低头,这是一次勇敢者的行为,应该予以肯定。事件发生之后,还需要蔚来拿出实质的解决方案,防止类似事件再次发生。
