《速度与激情8》中自动驾驶汽车失控场景 图源:源于网络

蔚来准备如何应对用户信息泄露事件?

近日网上流传了一份关于第三方违法出售蔚来信息数据并明码标价其中包括蔚来内部员工数据22800车主用户身份数据近40万条还包括用户地址信息车主贷款数据等

虽然这份信息的来源有待考证不过蔚来还是对于近日发生的信息泄露问题进行了回应

12月20日下午,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。

据卢龙透露,在收到勒索邮件后,蔚来当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息

而关于具体的信息泄露渠道蔚来并没有进一步公布

蔚来创始人李斌则回应“非常抱歉发生这样的事。没有保护好用户信息安全是我们的责任,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。”

 图源:蔚来App
图源:蔚来App

值得注意的是这也是我国车企第一次被公开的用户个人信息泄漏

蔚来的回应有几层含义?

首先在声明中,没有公布黑客入侵的具体途径或者辟谣非内部泄露所致对于进一步公开信息,让用户了解真实情况,蔚来需要同步更新的调查进展。

 图源:蔚来App
图源:蔚来App

其次蔚来首席信息安全科学家、信息安全委员会负责人卢龙在社区中还解释称,本次事件不涉及车辆使用中产生的数据,比如行车轨迹、座舱数据,也不影响车辆的架乘或远程控制。不过关于此后蔚来如何继续改进维护用户信息安全则没有进一步回应

同时如果不是网络上流传出相关售卖信息早在1211日发生的黑客勒索事件蔚来为何没有第一时间回应并提醒用户注意潜在风险而是直到事件发酵才选择发布公告在事件处理方式上欠妥

而在蔚来App上很多蔚来车主也十分关心在信息泄露后接下来应该注意什么。

比如车主应该提防哪些风险怎么界定损失和数据泄露有关以及声称“要对用户带来的损失承担责任”会如何承担等等

 图源:蔚来App
图源:蔚来App

据品驾了解有第三方数据安全技术公司正在帮助蔚来做信息安全改造目前蔚来正在修复潜在的信息泄露风险

用户数据信息泄露,比我们想象的还要多

放眼国际跨国车企的信息泄露包括用户个人信息泄露也不在少数

在蔚来之前今年汽车行业最大的用户数据泄露来自于丰田就在10丰田发现,T-Connect网站源代码的一部分被错误地发布在GitHub上,其中包含存储客户电子邮件地址和管理号码的数据服务器的访问密钥。这使未经授权的第三方可以在2017年12月至2022年9月15日期间访问296,019名客户的详细信息这造成的丰田车主数据泄露达30万人

不过丰田在声明中强调使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等,但其他敏感信息如姓名、电话号码和信用卡信息等均未受到影响。从用户个人信息泄露程度来看蔚来此次的影响要高于此前丰田的用户数据泄露

值得注意的是关于此次事件丰田的处理方式

根据外媒报道,丰田汽车已就此事向受影响的客户发送了电子道歉邮件,并且建立了网站表单,从而使客户可以查看自己的电子邮箱是否在可能被泄露的范围内。此外,丰田汽车还设立了专门的呼叫中心,以回答客户针对信息泄露的相关问题。

2021大众及奥迪也经历了数据泄露问题受影响的客户及潜在买家超过330万人泄露的数据包含相关客户和潜在买家的姓名、地址和电话号码等个人信息,美国和加拿大的90,000名客户的“更机密”数据被泄露,包括获得贷款。资格信息和社会安全号码等。

关于此次事件大众的处理方式包括敏感数据已暴露的个人将通过注册代码获得免费信用监控。这意味着被暴露信息的个人可以监控到自己的信息是否受到损害

其次聘请外部网络安全专家调查这起事件。

同时,为那些认为自己受到数据泄露影响的人设立了一个帮助中心。 这一点可以平息更多用户及车主的疑问。

从丰田及大众的经历来看用户信息数据泄露其实在汽车行业并非个例

有媒体报道很多车企在遭遇黑客勒索时会选择缴纳赎金息事宁人这种暗戳戳的交易没有车企会选择主动承认因为这意味着在面对用户信息安全问题上车企选择隐瞒和妥协

这种做法的前车之鉴就是2016,美国网约车巨头优步(Uber)经历的一起重大黑客攻击事件Uber前首席安全官约瑟夫·沙利文在收到匿名邮件后第一时间选择以发现安全漏洞赏金的名义向黑客支付了价值10万美元的比特币,并与黑客签订保密协议

最终该事件被暴露瑟夫·沙利文被起诉

所以蔚来在回应中称不会支付赎金的做法并不是与黑客硬钢而是这种做法并不能真正保护数据不被曝光花钱不但不能保平安可能还犯法

车企都拥有哪些用户隐私数据?

相比于政府机构国际组织门户网站航空公司等数据泄露重点行业最近几年汽车制造商的数据泄露问题也越来越普遍

另一方面智能汽车时代的到来除了用户个人信息数据,5G、网联化车载传感器所获得的用户行驶数据所涉及的隐私和安全问题同样不可小觑

《速度与激情8》中自动驾驶汽车失控场景 图源:源于网络
《速度与激情8》中自动驾驶汽车失控场景 图源:源于网络

国家工业信息安全发展研究中心的一项调研显示一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等等,一旦遭受侵害会泄露个人隐私。

国家工业信息安全发展研究中心也建议车企从两个角度提升数据安全方面的能力

一是提升核心基础技术的安全可控能力,即涉及车辆本质上的安全。

二是提升数据安全综合防护能力,利用新一代的信息技术,包括区块链技术、流量检测技术、国密技术等,提升综合防护的能力。

蔚来此次的用户数据信息泄露仅仅是冰山一角也提醒整个行业关于强化技术手段和管理机制的重要性

同时蔚来的此次做法并没有为国内车企尤其是新造车头部企业所应该树立的代表性作为一家用户企业蔚来的信息泄露之所以得到更多关注和讨论也是因为我们期待一家用户企业可以在危机事件中拿出真诚对待用户的样板

我们也将关注蔚来此次用户信息泄露事件的后续进展。