蔚来汽车(HK:09866)遭遇用户数据泄露引发关注。
获悉,12月20日,蔚来汽车发布相关声明称,2022年12月11日,蔚来汽车收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。
对此,蔚来表示:公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告了此事件。蔚来创始人、董事长李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。
区别于燃油车,智能汽车搭载了大量的传感器、摄像头、智能导航系统、语音交互系统,无不存在着用户数据泄露的隐患。蔚来事件一出,在车企中敲响了警钟,用户数据安全问题当尽快引起重视。
蔚来汽车数据泄露
蔚来称,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。目前已被第三方违法出售。
据了解,黑客组织盗取了约2.28万条内部员工数据、39.9万条车主ID数据、65万条用户地址数据以及485万条蔚来注册用户数据。非法出售的数据与勒索相同,以比特币作为支付形式。售价为员工数据0.15比特币、车主ID数据0.25比特币。
注意到,20号晚上,还有一张疑似黑客售卖从蔚来处窃取数据的截图在社交平台传播。黑客声称“给了蔚来两次机会,但蔚来不愿买断这部分数据保护车主和用户,因此决定有偿曝光。”
从销量来看,蔚来汽车2018年到2020年全年交付量分别达11348台、20565台、43728台,2021年1-7月累计交付49887台。这些交付数据极有可能就在被泄露的数据里。
蔚来发布公告称,在收到勒索邮件后,蔚来汽车当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
蔚来表示,公司已在中国就该事件发布公开声明,其中提供了解答用户有关数据泄露事件的专门热线及邮件地址。同时,蔚来承诺对其因数据泄露事件给用户造成的损失承担责任。事件发生后,蔚来汽车对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。
蔚来还在公告中补充道:会采取一切可能方式支持其用户。公司持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。公司在此重申其对保护用户数据安全及隐私的承诺,同时对此次事件深表歉意。
此外,数据公布泄露当晚,蔚来创始人、董事长李斌在蔚来官方社区发文致歉。李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
蔚来首席信息安全科学家、信息安全委员会负责人卢龙则对此次泄露事件的具体安全危害作出补充说明。卢龙表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
谁来保障用户数据安全?
注意到,遇到相同问题的车企并非只有蔚来汽车。
去年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露,具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
今年5月,通用汽车也曾发布声明称,2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。
此外,今年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。
近年来,随着智能网联技术取得快速发展,关于新能源汽车安全的话题越来越受到关注。
有数据显示,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。而目前,大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这会导致车内敏感信息泄露或被篡改,以及车辆行驶中的异常行为,还有可能危及人的生命安全。
在2022世界新能源汽车大会上,中国工程院院士李克强表示:今年上半年针对车联网平台的网络恶意行为已经超过100万次,汽车信息安全威胁问题日益严重。
那么,到底谁来保障用户数据安全?
从车企来看,已经有些车企在研究保护措施。此前,长城汽车建立数据安全管理机制,明确不同场景的数据保护方案及措施等,理想汽车强化准入机制和统一账号身份管理;奇瑞汽车制定数据管理规定和数据治理的标准体系等。威马汽车CEO沈晖表示,在法律法规的大框架下,明白用户需要怎样的“电子围栏”,才能保护用户隐私、保障数据安全。
从政策层面来看,国家对智能汽车的安全问题已经有相应的立法规划。相关部门陆续出台了《汽车数据安全管理若干规定(试行)》、《关于加强智能网联汽车生产企业及产品准入管理的意见》、《信息安全技术网联汽车采集数据的安全要求》等法规,旨在加强在车辆数据安全、网络安全、功能安全和预期功能等方面的管理。
其中,今年3月,工信部在《车联网网络安全和数据安全标准体系建设指南》中明确提出,到2023年底,将初步构建起车联网网络安全和数据安全标准体系,完成50项以上急需标准的研制。到2025年,将形成较为完善的车联网网络安全和数据安全标准体系。
正如中国汽车流通协会专家委员表示的一样,随着智能汽车的不断普及,数据安全正成为影响消费者购车决策的重要因素,在数据安全和个人隐私保护方面做得更好的车企,或许能在未来的竞争中赢得优势。
未来,车企们在数据安全方面的“警报”必须随时拉响。
