2022年12月20日,被勒索的第9天,蔚来终于发布了声明。而这也证实了当日有人在网络上大肆买卖蔚来内部数据的事件以及蔚来遭受数据泄漏的事实。
对225万美元等额比特币的勒索,蔚来的态度很明确,坚决不会向网络犯罪行为低头。同时,也诚恳道歉并承诺会对本次事件给用户造成的损失承担责任。
在这一事件中,蔚来数据泄漏被黑客勒索值得被人同情,但于此同时,这些被盗窃的信息会落入谁的手中,又会被拿来作何用途,才是悬在蔚来和用户头上的达摩克利斯之剑。
在调查结果水落石出之前,谁都无法松下这口气。
01
被勒索9天后,蔚来发出声明
2022年12月20日,一个名为“蔚来用户”的账号在蔚来APP社区中发布了一则《揭露蔚来虚伪,对其进行惩罚,保护用户》的帖子,声称:“我们破解了蔚来的大量数据,但由于蔚来不愿买断数据,所以决定有偿曝光。”
帖子中还贴出了相关数据页面的截图,并描述了这些数据的具体数量、指向对象、售卖对象以及售价。其中包含了蔚来内部员工数据2.28万条、车主用户身份证数据39.9万条、车主贷款数据17万条、车主数据12.5万条、用户地址数据65万条、车主亲密数据36万条、蔚来注册用户数据485万条、订单数据49万条和退单数据9万条,以及企业及企业代表联系人数据1万条。而所有这些数据打包价为1比特币。
除了在蔚来APP中发帖以外,根据网络流传的截图,这名“蔚来用户”还在微信群中发送了相同的内容。
下午16时左右,蔚来首席信息安全科学家,信息安全委员会负责人卢龙在蔚来APP社区中发布了一则《关于数据安全事件的声明》,对这一事件做出了回应。
从回应中可以了解到,12月11日蔚来就已经收到了外部邮件,对方声称拥有蔚来内部数据,并向蔚来勒索225万美元等额比特币(折合人民币1568万元),按照安全事件响应机制,蔚来在当天成立了专项应急小组。
根据蔚来的初步调查,被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售数据。卢龙也在帖子下进一步补充:“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的乘驾或远程控制。”
李斌本人也对这次事件进行了道歉,表示会承担起相关的责任,也会追查到底,不会与不法行为妥协。
02
蔚来用户:怎么负责?
在回应中,蔚来和李斌均表示会对此次事件给用户造成的损失承担责任,这种愿意负责任的态度在大多数人看来是值得肯定的,但是不少蔚来用户却并不买账。
首先是针对蔚来发声明的举措。
有用户认为个人隐私泄露是大事,蔚来没有对用户做充分的信息披露,也没有相应的事件后续说明。
同时,有人从数据情报工作者的身份指出了事件的严重程度,并对声明中没有对所泄露信息范围和信息内容进行说明的做法提出了质疑。
其次是针对信息泄露之后,蔚来要如何承担责任。
有用户非常犀利地指出了信息被泄露之后的举证问题,认为即便给用户造成了损失,也无法对证。
最后,事件既然已经发生了,当务之急是蔚来会做出什么样的补救措施。这位车主希望蔚来可以给出一些实用的方法,让用户摆脱被动局面。
我们从《蔚来汽车隐私政策》上了解到,对于安全事件的响应,蔚来需要按照法律法规的要求,及时向用户告知“安全事件的基本情况和可能的影响、他们已经采取的或将要采取的措施、以及用户可以自主防范和降低风险的建议、对用户的补救措施等”。但目前来看,这一块的举措仍是缺失的。
而且,从隐私政策上我们也发现,针对蔚来汽车产品/服务收集信息的场景非常多,一共包含了以下16个场景:账户注册与登录、购车咨询与车辆试驾、车辆订购、电池租用服务、融资租赁服务、保险服务、电子协议签署、车辆使用与远程车辆管理、车主服务于售后服务、商城购物及支付、社区与即时通讯、活动报名、客户服务、运营安全与保障、信息推送、业务经营以及分析改进。
收集的信息包括:个人信息、车辆信息、设备信息、日志信息、活动信息等多个方面的用户信息。那么此次安全事件所泄露的用户信息究竟包含了哪些具体的内容,是如黑客所称的,包含了车主用户身份证、贷款数据、用户地址数据、车主亲密等等,还是只是蔚来初步调查所得知的车主基本信息和车辆订单数据?这些都需要蔚来尽快给出答复。
03
蔚来的信息安全过往
随着汽车智能化程度的不断加深,近几年,汽车行业遭遇黑客攻击和勒索的事件也开始层出不穷。今年以来,包括现代、起亚、沃尔沃、通用、宝马、英伟达等汽车和供应商企业,都被曝出遭遇黑客攻击的事件。
蔚来执行副总裁兼产品委员会主席周欣曾表示:“蔚来在成立之初,就已意识到,相比于传统汽车,智能网联汽车面临着更多的信息安全挑战:用户触点和功能多,数据类型和规模大,网络连接多样化,智能驾驶系统复杂度高。”
因此,前期蔚来在信息安全方面可以说是下了大工夫。并且,在去年的12月22日,蔚来就获得了UN R155(联合国欧洲经济委员会第155号法规)车辆网络安全管理体系认证,成为全球首批、中国首个获得此项认证的公司。
“得益于该体系的建设,蔚来具备了更高安全级别的道路车辆以及相关产品的研发能力和管理体系,保障产品抵御网络安全威胁,在用户或者相关产品在受到或者可能面临网络安全威胁的时候能够以最快的速度以及有效的方式进行响应,帮助用户消减风险。切实保护用户的资产以及人身安全”,蔚来执行副总裁兼质量委员会主席沈峰博士也曾提及该体系的有效性。
不料,获得认证一年之后,却发生了这样一次数据安全事件。虽然蔚来称并未涉及到车辆使用中产生的数据,也不会影响车辆的乘驾或远程控制,但是也给蔚来的信息安全工作敲了警钟。
黑客的攻击行为固然是造成信息泄露的直接原因,但绝不能只归罪于外因,内因才是根本。
除了这次数据泄漏,有车主对车辆购买、保险续保时,蔚来在用户信息收集和使用上的一些做法和安全等级也略有不满。
有车主质疑蔚来内部员工的用户信息使用权限过大。
还有用户对蔚来内部系统的管理提出了自己的忧虑。
通过此次安全事件透露出的种种问题,我们希望蔚来一方面能够从中吸取教训,补足安全系统中的漏洞;而另一方面,则是针对这次被泄露的信息,尽快向用户做好告知和补救,让蔚来用户可以更放心地购买和使用蔚来的产品和服务。
来源:第一电动网
作者:电动汽车用户联盟
本文地址:https://www.d1ev.com/kol/192138
文中图片源自互联网,如有侵权请联系admin#d1ev.com(#替换成@)删除。