奧推網

選單
科技

蔚來準備如何應對使用者資訊洩露事件?

2022-12-29由 鈦媒體APP 發表于 科技

圖片來源@視覺中國

鈦媒體注:本文來源於微信公眾號品駕(ID:Ping-Drive),作者 | 董楠,鈦媒體經授權釋出。

近日,網上流傳了一份關於第三方違法出售蔚來資訊資料並明碼標價:其中包括蔚來內部員工資料22800條,車主使用者身份資料近40萬條,還包括使用者地址資訊、車主貸款資料等。

雖然這份資訊的來源有待考證,不過蔚來還是對於近日發生的資訊洩露問題進行了迴應。

12月20日下午,蔚來首席資訊保安科學家、資訊保安委員會負責人盧龍在蔚來官方社群釋出公告稱,2022年12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內部資料,並以洩露資料勒索225萬美元(當前約1570。5萬元人民幣)等額比特幣。

據盧龍透露,在收到勒索郵件後,蔚來當天即成立專項小組進行調查與應對,並第一時間向有關監管部門報告此事件。經初步調查,被竊取資料為2021年8月之前的部分使用者基本資訊和車輛銷售資訊。

而關於具體的資訊洩露渠道,蔚來並沒有進一步公佈。

蔚來創始人李斌則迴應,“非常抱歉發生這樣的事。沒有保護好使用者資訊保安是我們的責任,向大家深表歉意,會對此次事件給使用者帶來的損失承擔責任。我們會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關資料的違法犯罪行為追查到底。”

圖源:蔚來App

值得注意的是,這也是我國車企第一次被公開的使用者個人資訊洩漏。

蔚來的迴應有幾層含義?

首先,在宣告中,沒有公佈駭客入侵的具體途徑,或者闢謠非內部洩露所致。對於進一步公開資訊,讓使用者瞭解真實情況,蔚來需要同步更新的調查進展。

圖源:蔚來App

其次,蔚來首席資訊保安科學家、資訊保安委員會負責人盧龍在社群中還解釋稱,本次事件不涉及車輛使用中產生的資料,比如行車軌跡、座艙資料,也不影響車輛的架乘或遠端控制。不過,關於此後蔚來如何繼續改進,維護使用者資訊保安,則沒有進一步迴應。

同時,如果不是網路上流傳出相關售賣資訊,早在12月11日發生的駭客勒索事件,蔚來為何沒有第一時間迴應並提醒使用者注意潛在風險,而是直到事件發酵才選擇釋出公告,在事件處理方式上欠妥。

而在蔚來App上,很多蔚來車主也十分關心,在資訊洩露後,接下來應該注意什麼。

比如,車主應該提防哪些風險,怎麼界定損失和資料洩露有關,以及聲稱“要對使用者帶來的損失承擔責任”會如何承擔等等。

圖源:蔚來App

據品駕了解,有第三方資料安全技術公司正在幫助蔚來做資訊保安改造,目前蔚來正在修復潛在的資訊洩露風險。

使用者資料資訊洩露,比我們想象的還要多

放眼國際,跨國車企的資訊洩露,包括使用者個人資訊洩露也不在少數。

不過,豐田在宣告中強調,使用其T-connect服務的約29。6萬名客戶的個人資訊可能已被洩露,包括電子郵箱地址和客戶編號等,但其他敏感資訊如姓名、電話號碼和信用卡資訊等均未受到影響。從使用者個人資訊洩露程度來看,蔚來此次的影響要高於此前豐田的使用者資料洩露。

值得注意的是,關於此次事件豐田的處理方式。

根據外媒報道,豐田汽車已就此事向受影響的客戶傳送了電子道歉郵件,並且建立了網站表單,從而使客戶可以檢視自己的電子郵箱是否在可能被洩露的範圍內。此外,豐田汽車還設立了專門的呼叫中心,以回答客戶針對資訊洩露的相關問題。

2021年,大眾及奧迪也經歷了資料洩露問題,受影響的客戶及潛在買家超過330萬人。洩露的資料包含相關客戶和潛在買家的姓名、地址和電話號碼等個人資訊,美國和加拿大的90,000名客戶的“更機密”資料被洩露,包括獲得貸款。資格資訊和社會安全號碼等。

關於此次事件,大眾的處理方式包括:敏感資料已暴露的個人將透過註冊程式碼獲得免費信用監控。這意味著,被暴露資訊的個人,可以監控到自己的資訊是否受到損害。

其次,聘請外部網路安全專家調查這起事件。

同時,為那些認為自己受到資料洩露影響的人設立了一個幫助中心。 這一點可以平息更多使用者及車主的疑問。

從豐田及大眾的經歷來看,使用者資訊資料洩露,其實在汽車行業並非個例。

有媒體報道,很多車企在遭遇駭客勒索時,會選擇繳納贖金息事寧人。這種暗戳戳的交易,沒有車企會選擇主動承認,因為這意味著在面對使用者資訊保安問題上,車企選擇隱瞞和妥協。

這種做法的前車之鑑就是2016年,美國網約車巨頭優步(Uber)經歷的一起重大駭客攻擊事件。因Uber前首席安全官約瑟夫·沙利文在收到匿名郵件後,第一時間選擇以發現安全漏洞賞金的名義向駭客支付了價值10萬美元的比特幣,並與駭客簽訂保密協議。

最終該事件被暴露,瑟夫·沙利文被起訴。

所以,蔚來在迴應中稱不會支付贖金的做法,並不是與駭客硬鋼,而是這種做法並不能真正保護資料不被曝光。花錢不但不能保平安,可能還犯法。

車企都擁有哪些使用者隱私資料?

相比於政府機構、國際組織、入口網站、航空公司等資料洩露重點行業,最近幾年,汽車製造商的資料洩露問題也越來越普遍。

另一方面,智慧汽車時代的到來,除了使用者個人資訊資料,5G、網聯化、車載感測器所獲得的使用者行駛資料,所涉及的隱私和安全問題同樣不可小覷。

國家工業資訊保安發展研究中心的一項調研顯示,一輛智慧網聯汽車每天至少收集10TB的資料,不僅數量極大,而且涉及到駕乘人員的出行軌跡、習慣、語音、影片等等,一旦遭受侵害會洩露個人隱私。

國家工業資訊保安發展研究中心也建議車企,從兩個角度提升資料安全方面的能力:

一是提升核心基礎技術的安全可控能力,即涉及車輛本質上的安全。

二是提升資料安全綜合防護能力,利用新一代的資訊科技,包括區塊鏈技術、流量檢測技術、國密技術等,提升綜合防護的能力。

蔚來此次的使用者資料資訊洩露僅僅是冰山一角,也提醒整個行業關於強化技術手段和管理機制的重要性。

同時,蔚來的此次做法並沒有為國內車企,尤其是新造車頭部企業所應該樹立的代表性。作為一家使用者企業,蔚來的資訊洩露之所以得到更多關注和討論,也是因為我們期待一家使用者企業可以在危機事件中拿出真誠對待使用者的樣板。

我們也將關注蔚來此次使用者資訊洩露事件的後續進展。

蔚來洩露使用者資料資訊

相關文章閱讀