包括車主親密關系在內的700多萬條蔚來汽車數據,被盜取后在網上明碼標價銷售。多名行業內人士指出,此事件為汽車行業智能化轉型敲響了警鐘,蔚來本是造車新勢力,都在數據管理上出現問題,更何況那些不就擅長智能化領域的傳統車企。
01
700多萬條蔚來數據明碼標價銷售
近(jin)日,有人在網(wang)上明碼(ma)標價,銷售蔚(yu)來(lai)汽車數據。
售賣者(zhe)稱其(qi)破解了蔚(yu)來(lai)大量數(shu)據(ju),給了蔚(yu)來(lai)兩(liang)次(ci)機會,但是蔚(yu)來(lai)寧(ning)愿花費千萬請(qing)歌手,也不愿意買斷這部分(fen)數(shu)據(ju),保(bao)護車(che)主和用戶,因此��������其(qi)決定有償(chang)曝(pu)光。
作者詳細列出了(le)9條(tiao)數(shu)據的(de)標價(jia),并詳細地給出了(le)建議購買對(dui)象(xiang)。其(qi)最后還(huan)稱,因為數(shu)據較多,全部數(shu)�������據打包價(jia)1個比特幣(bi)。
這些(xie)數據(ju)包括蔚來員工數據(ju)、訂單數據(ju)、用(yong)戶及(ji���������)企(qi)業代(dai)表聯系人(ren)數據(ju),還(huan)涉及(ji)車主(zhu)身(shen)份證、用(yong)戶地址、車主(zhu)親密關系、車主(zhu)貸款數據(ju)等隱私信息。據(ju)統計,僅在網上售賣的數據(ju),排除(chu)重(zhong)復的可能(neng)性外,共有(you)716.68萬(wan)條。
1 蔚(yu)來內部(bu)員工數據2.28萬條,包含總(zong)裁(cai)到一(yi)線(xian)員工,從�����事新能(neng)源招聘和獵頭工作的,可以關注,售價0.1�������5比(bi)特幣。
2 車主用戶身(shen)份(fen)證數�����據39.9萬條(tiao),從(cong)事黑灰產的可以(yi)關注(zhu),售(shou)價0.25比特幣。
3 (數據名稱不詳(xiang))12.5萬條,售價(jia)0.15比特幣(bi)。
4 用戶地址數據65萬條,售(shou)價0.15比特(te)幣。
5 蔚(yu)來注冊用(yong)戶數據485萬(wan)條,售價0.15比特幣(bi),蔚(yu)來競(jing)爭(zhen�������g)對(dui)手可以(yi)關注。
6企業及企業代(dai)表聯系人(ren)數據1萬(wan)條,售價0.1比特幣。
7訂單(dan)49萬(wan)條及9萬(wa�����n)條退單(dan)數據,蔚(yu)來(lai)競爭對手可以關(guan)注(zhu),售價0.15比(bi)特幣。
8 車主親密關系數據(ju)36萬條,挖掘社會關系的可以關注,售價0.2比特幣(bi)。
9 車(che)主貸(dai)款數據17萬條,售價0.1比(bi)特幣(bi)。
02
蔚來創始人李斌道歉:我們沒有做好
12月20日(ri),蔚(yu)來(lai)(lai)首(shou)席信(xin)息安全科學家(jia)、信(xin)息安全委員會(hui)負責人盧龍(long),在(zai)蔚(yu)來(lai)(lai)官(guan)方社區發布公告稱(cheng),2022年(nian)12月11日(ri),蔚(yu)來(lai)(la������i)公司收到(dao)外(wai)�����部郵件,聲稱(cheng)擁有蔚(yu)來(lai)(lai)內(nei)部數(shu)據,并以泄露數(shu)據勒索225萬美元(yuan)等(deng)額比特幣,約(yue)合人民幣1570.5萬元(yuan)。
“在(zai)(zai)收(shou)到勒索郵件后,公司當天即成立專項(xiang)小組(zu)進行調查(cha)與����(yu)應對,并第一時間向有關監管部(bu)(bu)門報告此事(shi)件。”蔚來汽������車(che)在(zai)(zai)聲明中稱,經(jing)初步調查(cha)被(bei)竊(qie)取(qu)數據為2021年(nian)8月之前的(de)部(bu)(bu)分用戶基本(ben)信息和(he)車(che)輛銷售(shou)信息。
蔚來(lai)汽車聲明中還說(shuo), 竊取、買賣此類數據(ju)是違(wei)法犯罪(zui)行(xing)為(wei),公司對(dui)此予以嚴(yan)厲(li)譴責,也堅決(jue)不會向網(wang)絡犯罪(zui)行(xing)為(wei)低頭。蔚來(lai)將協(xie)同有關(guan)執法部門深入調�����查此次事件(jian),并依法堅決(jue)打擊相關(guan)的數據(ju)竊取、買賣行(xing)為(wei)。
對于是否因翻越蔚來(lai)防火墻導致數����據(ju)失(shi)竊,蔚來(l�����ai)汽車(che)高(gao)層回應媒(mei)體稱,目前數據(ju)被竊取(qu)的情(qing)況還在調查中。
針對可能(neng)造(zao)成的用戶損(sun)失(shi),蔚(yu����)來汽(qi)車客(ke)服(fu)人員稱,不會(hui)做(zuo)出主動賠償,目前尚未(wei)出�����臺賠償方案,但(dan)對客(ke)戶的反饋會(hui)記錄再案,且會(hui)對因本次事件給用戶造(zao)成的損(sun)失(shi)承擔責任。
蔚(yu)來(lai)汽(qi)車(che)客服同時提醒(xing),如近期遇(yu)到涉(she)及蔚(yu)來(lai)的陌(mo)生�������(sheng)來(lai)電(dian),需小心謹慎,勿透露個人(ren�����)信息(xi)。
蔚來汽(qi)車信息安全委員會(hui)負責人盧龍(long)稱,事(shi)件發生(sheng)后,對公司網�����絡信息安全進行了排查與強化。
當晚,蔚(yu)來(lai)創(chuang)始人、CEO李斌在蔚(yu)來(lai)社區中道歉。
“非常(chang)抱歉發(fa)生這樣的事(shi)。保護好(hao)用戶信息安全是�������我(wo)們的責(ze)任,我(wo)們沒有做好(hao),向大(da)家深(shen)表歉意,會對此次(ci)事(shi)件給用戶帶來(lai)的損(sun)失承擔責(ze)任。”
李(li)斌稱,公司不(bu��������)會與不(bu)法行為妥(tuo)協,也請(qing)大家及時(shi)提供線索。
盧龍在社區中稱,本次事件不(bu)涉及(ji)車輛(liang)使用中產������生的(de)數(shu)(shu)據(ju),比如行車軌跡、座艙數(shu)(shu)據(ju),也(ye)不(bu)影響車輛(liang)的(de)架乘或遠(yuan)程控(kong)制(zhi)。
03
數據管理存在問題,打擊用戶信任度
蔚來社區(qu)上(shang)述聲(sheng)明評論區(qu)下方����,已有(you)將�����近1000條用戶評論,數(shu)百條點贊。
圖
大多(duo)數用戶關(guan)注(zhu)的問題是:�����數據(ju)如(ru)何(he)被竊取的?哪(na)些數據(ju)被泄(xie)露?泄(xie)露到了(le)何(he)種(zhong)程度?是否(fou)已經止損(sun)?會造成什么影響?如(ru)何(he)賠償?如(ru)何(he)防止類似(si)事(shi)件再(zai)發生?
還�������有車主直接要求賠償(chang)付錢,也������有車主諷刺蔚來汽車多多邀請李榮浩再(zai)唱幾首歌曲(qu)。
很多(duo)車主反������饋信息(xi)顯示,他(ta)們近日接到(dao)推銷汽車的電話增多(duo)。
一(yi)(yi)名蔚來汽(qi)車(che)車(che)主告訴《超(chao)源(yuan)力(li)》,他的電話(hua)設置了防詐功能,因此一(yi)(yi)些推銷騷�����擾電話(hua)被(bei)屏(ping)蔽了,不過近日被(bei)屏(ping)蔽的電話(hua)確有增加。
“我(wo)(wo)估計我(wo)(wo)的個人信息,差(cha)不多已經裸(luo)奔。”上述車主在等待調(diao)查結(jie����)果,但他對信息不被(bei)�������泄漏已經失去信心(xin)。
登陸蔚來(lai)App后(hou),用(yong)戶本人信息,主要包括積分、賬單、訂單、邀請好游等內容(rong),在(zai)朋友一欄(lan)中可以導入(ru)通訊錄(lu),上述包括的信息主要有(you�������)用(yong)車城市、地址、手機號等。
如果車主是蔚來App辦(ban)理(li)購(gou)車手(shou)續(xu)成(cheng)為(wei)深度用戶,車主在(zai)“我(wo)的證(zheng)件”中(zhong)可(ke)添加(jia)的信(xin)息(xi)較多,����包(bao)含身份證(zheng)、護照、社保、行(xing)駛(shi)證(zheng)、駕駛(shi)證(zheng)、購(gou)車額(e)度證(zheng)明(ming)、購(gou)車指標等(deng)信(xin)息(xi)。
上述車主(zhu)告訴《超源力(li)》,他當初沒(mei)有添加過多信(xin)息(xi),一方面就是買了一輛車,第二(er)平時(shi)太(tai)忙沒(mei)有時(shi)間參������加活動,所以(yi),即(ji)使這(zhe)次信(xin)息(xi)泄露,也就是基(ji)本信(xin)息(xi)。
蔚來汽車遇到涉(she)及信息安全、數據(ju)安全的(de)事件不(bu)止這一(yi)起。
今年(nian)4月(yue),蔚來(lai)在一份內部通知中稱,去(qu)年(nian)9月(yue)1日,蔚來(lai)風險管理部門收到相關投訴,投訴表明該公司一名員(yuan)工(gong)利(li)用職位之(zhi)便(bian),使用公司�������內部服務器挖(wa)礦,時間(jian)超過一年(nian)�����。
蔚(yu)來在內部通知中強調,該行為已經違(wei)反法律,同(tong)時也對公司系(�������xi)統安(an)全(quan)和業務信息安(an)全(quan)產生了負面(mian)影響。
早(zao)在201������9年(nian),多名������車(che)評人發文指責(ze)蔚來涉嫌(xian)記錄車(che)主行程數據,泄露私密旅程信息。
蔚(yu)來汽車(che)非常看重用戶體(ti)驗,李斌一直(zhi)強調改(gai)變(bian)服務用戶方式(shi)。為此(ci),公(gong)司提供(gong)了將(jiang)車(che)、樁、換電(dian)(dian)站、手機(j���i)等(deng)全部云連接。李斌還(huan)投入(ru)精力與金(jin)錢運做(zuo)車(che)電(dian)(dian)分離,推出電(dian)(dian)池(chi)是(shi)服務的Bass模式(shi)。
“這么(me)多數據(ju)能被流(liu)出來,說明蔚(�����yu)來的(de)(de)管(guan)理存在問題。”一名不愿具名的(de)(de)車(che)企工程師稱,這個事件的(de)(de)影(ying)響,可能會打破蔚(yu)來非常重視的(de)(de)用戶信任(ren)感。
該工程(cheng)師分析(xi)稱,從售(shou)賣(mai)的數據來看�����,數據已被分類處(chu)������理(li),其中親密關系這一類數據泄(xie)露,會讓部分車主感到擔(dan)憂(you)。
此次事件中,數(shu)據如何被盜取?
一般而言(yan),黑(hei)客會通過(guo)撞(z�������huang)庫竊(qie)取數據。撞(zhuang)庫是黑(hei)客通過(guo)收(shou)集(ji)互聯網已泄露的(de)用戶(hu)和(he)密(mi)碼信息,生成對應的(de)字典表(biao),嘗試批量(liang)登錄(lu)(lu)其他(ta)網站(zhan),得到一系列可登錄(lu)(lu)網站(zhan)的(de)用戶(hu)信息。
此(ci)次泄露(lu)出來的數據(ju)顯示,盜取者(zhe)掌握的數據(ju)權(quan)限����級別(bie)很高。另外,此(ci)次泄露(lu)數據(ju)規(gui)模(mo)之大和層級之高,有可(ke)能是(shi)批量(liang)盜取,不排除內����鬼的可(ke)能性。
多(duo)名(ming)車(che)企(qi)工程師認(ren)為,這(zhe)次泄露的(de)數據,多(duo)集中在個人(ren)信息層面(mian),尚未(wei)出(chu)現(xian)車(che)輛行駛(shi)數據,可(ke)能(neng)(neng)不會(hui)(hui)對車(che)輛安全造(zao)成影響:因為,����第(di)一,車(che)輛數據記錄性(xing)能(neng)(neng)居多(duo),一般介入行駛(shi)都會(hui)(hui)非常謹慎;第(di)二,要攻擊車(che)輛駕駛(shi),需(xu)要更高的(de)技術門檻,車(che)載安全網(wang)關也會(hui)(hui)攔截。
蔚(yu)來(lai)此次數據事件(jian),公告(gao)(gao)是在被勒索后的第10�������天發布(bu)的。有(you)車主認為(wei),告(gao)(gao)知不及時。
“這里面有個合理時間(jian)和是否存(cun)在(zai)應�������(ying)急告(gao)知的原(yuan)因。”上海知名律師秦(qin)學勇指出,假定泄露(lu)的數據危及到行(xing)車安全等(deng),那(nei)就算應(ying)急事件,需要第一時間(jian)告(gao)知;如果泄露(lu)數據并不存(cun)在(zai)緊(jin)急危害,法律法規(gui)要求(qiu)在(zai)合理時間(jian)內告(gao)知。
根(gen)據目前已知的(de)泄露數(shu)據分析,大多涉及個(ge)人信息,并(bing)未出現行(xing)車�����安全數(shu)據,因此,秦學勇認(ren)為,告(gao)知時(shi)間(jian)上蔚來并(bing)沒有違規。
另外,根據(ju)工信(xin)����部印發的(de)《工業(ye)和(he)信(xin)息��������化領(ling)域數(shu)(shu)據(ju)安全管理辦(ban)法(試(shi)行(xing))》規(gui)(gui)定(ding),數(shu)(shu)據(ju)處(chu)理者在數(shu)(shu)據(ju)安全事(shi)件發生后,應當(dang)第一時間向本(ben)地區行(xing)業(ye)監(jian)管部門(men)報告,對(dui)發生的(de)可能損害用戶合(he)法權(quan)益的(de)數(shu)(shu)據(ju)安全事(shi)件,應當(dang)及時告知(zhi)用戶。辦(ban)法中并未強制規(gui)(gui)定(ding)告知(zhi)的(de)時間限定(ding)。
另外(wai),根據(ju)現(xian)有法律(lv)法規判(pan)定,涉及(ji)個人信息主體超過10萬(wan)人的(de)個人信息,即是重要數據(ju)。此次(ci)數據(ju)泄露數量,已經(jing)超過重要數據(ju)定義的(de)下限,位列重�����要數據(ju)等級(ji)。
蔚來汽車在此次數據被盜取的事件中,至少(shao)存(cun)在管理不善的問題。
國(guo)內一(yi)家車(che)企高管告訴《超源力》,數據(ju)應該加密處理(li),權限管理(li)上(shang)車(che)企都比(bi)較嚴(yan)格,能夠被盜取,說明在(zai)安全管理(li)和加密技術上(shang)還需������要加強。
另外,汽車數據(ju)(ju)處(chu)理(li)(li)(li)者(zhe)在數據(ju)(ju)處(chu)理(li)(li)(li)中堅(jian)持的原則有(you)一條是脫敏處(chu)理(li)(li)(li)原則,即數據(ju)(ju)處(chu)理(li)(li)(li)者(zhe)要(yao)盡(jin)可能進行匿名化(hua)、去標識(shi)化(hua)等(deng)處(chu)���������理(li)(li)(li)。目前,被拋(pao)到網上售賣的數據(ju)(ju),并沒有(you)做上述處(chu)理(li)(li)(li),要(yao)知道這些數據(ju)(ju)是去年(nian)8月(yue)之前的數據(ju)(ju)。
“這(zhe)次事(shi)件給(gei)所有(you)車(che)企(qi)敲響了警鐘(zhong)。”上述車(che)������企(qi)高管指出(chu),電動智(zhi)能化轉(zhuan)型,不光有(you)電動化轉(zhuan)型,更重(zhong)要(yao)的智(zhi)能轉(zhuan)型尤其要(yao)注意數據管理和(he)挖�����(wa)掘能力建設,這(zhe)一點(dian)很(hen)多(duo)車(che)企(qi)做的遠(yuan)遠(yuan)不夠。
他同時指出,此前(qian)全球知(zhi)名車企(qi)也遭(zao)(zao)遇(yu)(yu)過數據安全事件(jian)。比如,法拉利(li)和(he)豐田都遭(za������o)(zao)遇(yu)(yu)過汽車信息泄露事�������件(jian)。法拉利(li)被(bei)(bei)竊取了6.99GB數據,豐田旗(qi)下的T-Connect近(jin)30萬用戶(hu)的個人信息被(bei)(bei)竊取。
上述車(che)企高管指出(chu),黑客對(du������i)智能汽(qi)車(che)攻(gong)擊(ji)次數正在成倍增加(jia),造車(che)的難度已經(jing)不光是車(ch�������e)本身。
對于此次事件中(zhong)竊(qie)取者(zhe)涉嫌犯(fan)(fan�����)罪的認定(ding),秦(qin)學(xue)勇指出,黑(hei)客(ke)入侵盜取海量(liang)公(gong)(gong)民個人(ren)信(xin)息,屬于非法獲(huo)取計算機信(xin)息系(xi)統(tong)數據罪;黑(hei)客(ke)將海量(liang)信(xin)息放在�����(zai)網上(shang)售(shou)賣,涉嫌侵犯(fan)(fan)公(gong)(gong)民個人(ren)信(xin)息罪。而(er)對用戶造成損失的,車企將面臨個體訴(su)訟(song)和集體公(gong)(gong)益訴(su)訟(song)。
