蔚來汽車被以泄露的數據勒索225萬美元等額比特幣!消息一出,行業震動。蔚來成為國內第一家用戶數據被竊取的造車企業。


一時間2021年8月之前的蔚來用戶也緊張起來?!斑@是怎么被竊取的,得查清楚?!薄耙院筮€會發生嗎?”


12月20日晚,蔚來在其官方社區發布的一則聲明,引發了蔚來汽車用戶的討論。蔚來在聲明中表示,確認2021年8月之前的部分用戶基本信息和車輛銷售信息被竊取。


具體涉及多少用戶,截至目前蔚來方面仍未公布。不過,根據蔚來此前公布的數據,2018年至2021年1-7月間,蔚來累計交付超12.5萬輛。


針對此事,新京報貝殼財經記者第一時間向蔚來方面詢問事件調查進展和用戶補償等信息。但截至發稿未收到回復。


12月21日,新京報貝殼財經記者致電聲明中提供的解答用戶就數據泄露事件疑問的電話,對方工作人員表示,目前還在調查數據泄露的原因和影響范圍,若用戶近期接到提及蔚來的陌生電話,建議小心謹慎。對于蔚來如何補償信息被泄露的用戶、是否會給予用戶相關風險提示和應對措施建議,上述工作人員未給出明確回復。


蔚來仍在調查數據泄露的原因和影響范圍,李斌稱將追查到底


一張流傳于網絡的圖片顯示,有人宣稱“破解了蔚來大量數據”,并公布了購買的郵件地址公開叫價出售。


根據列出的信息,數據涉及蔚來的經營以及客戶隱私,包括蔚來員工數據、訂單數據、車主身份證、用戶地址,甚至車主親密關系、車主貸款數據等極為隱私的信息。


這些信息被明碼標價,價格均以比特幣為單位,如2.28萬條員工數據售價0.15比特幣,3.99萬條車主用戶身份證數據售價0.25比特幣;全部數據打包售價1比特幣。


“我們還在進一步調查數據泄露的原因和影響范圍?!蔽祦硇畔踩瘑T會負責人盧龍在蔚來官方社區表示,本次事件不涉及車輛使用中產生的行車軌跡、座艙數據等,也不影響車輛的駕乘或遠程控制。


針對用戶數據泄露一事,12月20日晚,蔚來創始人、董事長兼CEO李斌在蔚來官方社區致歉,并表示蔚來會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底?!拔覀儾粫c不法行為妥協?!?12月21日早間,蔚來針對此事再度于港交所發布公告。


安全專家如何看?

泄露的風險點位在哪里?數據庫被拖庫?


民間互聯網安全組織網絡尖刀創始人曲子龍表示,從網傳的泄露截圖信息來看,黑客公布的泄露數據并不是由汽車本身產生的數據,而是在實際業務經營的過程中產生的,如員工數據、企業及企業代表聯系數據、訂單及退單數據、車主貸款數據這些應該是常規公司的OA及CRM數據;而車主注冊身份證數據、用戶注冊數據、車主親密關系數據應該源于與蔚來用戶互動的車主APP。


“個人認為本次泄露大概率是產生于蔚來公司自己的‘業務管理后臺’,就本次泄露事件來看,我覺得大家可以短暫地拋開蔚來是家智能汽車企業來看待,和以往的大部分互聯網企業數據泄露一樣,應該是某個系統存在問題導致數據庫被拖庫。當然到底怎么泄露的還要以蔚來公司自己的調查結果為準?!鼻育埛Q。


中博聯智庫特聘專家、黃河科技學院客座教授張翔表示,盡管黑客惡意竊取數據勒索未能成功,但這也說明蔚來的信息系統還是存有漏洞,蔚來應該提高內部信息系統的安全等級?!半m然沒有絕對的數據安全,但提高安全等級、多做一些防護措施,可增加被攻擊的成本和難度?!?/p>


此外,北京市京師律師事務所律師孫智陽在接受新京報貝殼財經記者采訪時表示,蔚來作為眾多用戶的個人信息擁有者、處理者,應該按照法律建立完善的保護制度、防護措施和緊急措施等保證用戶個人信息的安全存留,避免丟失泄露。


用戶更關心自己哪些信息被竊取了


“無法確定自己的隱私數據是否已被泄露,也不清楚是如何泄露的,目前未收到蔚來方面的通知?!?2月21日,一位于2021年8月前購車的蔚來車主告訴記者,“希望沒有車主因為這個泄露遭受損失?!?/p>


“不能僅僅是道歉,不能僅僅是空洞的承擔損失,應該盡快提示我們用戶哪些信息被竊取了,應該做些什么?!蔽祦碥囍骼钕壬诮邮苡浾卟稍L時表示。


同日,貝殼財經記者就上述問題致電聲明中提供的解答用戶就數據泄露事件疑問的電話,在談及信息被泄露的用戶是否會收到企業的提醒、蔚來是否會告訴用戶“泄露的基本信息包括了哪些”時,對方工作人員并未給出明確答復。


律師詳解蔚來數據泄露該當何責?


“車企應該及時向用戶說明調查情況?!北本┦芯熉蓭熓聞账蓭煂O智陽在接受貝殼財經記者采訪時表示,用戶有權對自己的個人信息進行詢問,對自己的信息是否泄露具有知情權和決定權,如個人信息因蔚來的丟失給用戶造成損失的求償權,這些在個人信息法中有相關的規定保護個人信息。


孫智陽指出,車企發生類似事件,首先在內部應該緊急處理、查實問題,及時處理補救保證數據安全。對于被敲詐勒索可以報案交予公安,對于企業丟失個人信息問題如監管部門進行調查,發現企業內部個人信息保護措施不完善或沒有盡到保護義務的可以給予行政處罰。


北京市中策律師事務所律師張方隅指出,用戶個人信息的泄露,是信息在儲存、傳輸等過程中信息處理者保護失當的體現。作為用戶,有權對信息泄露的具體情況進行查詢,尤其是涉及敏感個人信息。在蔚來的官方聲明中,其明確了被泄露的信息是“2021年8月之前的部分用戶基本信息和車輛銷售信息”,說明對于被泄露信息的具體細節,蔚來方面也是知情的。


張方隅也指出,《個人信息保護法》第六十九條明確規定,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。車企需要證明自己在本次泄露事件中不存在過錯,例如證明是不法分子竊取所致,自己在信息的保護上不存在過失等,否則將承擔賠償責任。具體的賠償數額,根據用戶因此受到的損失或者個人信息處理者因此獲得的利益,或者實際情況確定賠償數額。同時,車企可能因為違反數據安全保護義務,造成大量數據泄露被行政處罰。


近年來多家車企發生數據遭泄露事件,智能汽車需如何守住數據安全底線?


伴隨汽車智能化、網聯化的快速發展,以及應用場景的不斷豐富,近年來,以汽車數據為核心的新安全問題日益凸顯,汽車數據安全事件頻發。


2021年6月,大眾汽車方面曾表示,有將近330萬名客戶或潛在買家的數據遭泄露。具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。同年12月,沃爾沃汽車運營的研發數據也遭遇黑客入侵,沃爾沃稱在入侵期間公司有限數量的研發財產被盜,并稱此次黑客攻擊“可能對公司的運營產生影響”。


今年5月,通用汽車也曾發布聲明稱,其注意到2022年4月11日-29日期間,部分在線客戶賬戶出現了可疑登錄,導致在未經用戶授權的情況下,客戶的獎勵積分被兌換成了禮品卡。此外,今年10月,豐田汽車在一份聲明中表示,使用其T-connect服務的約29.6萬名客戶的個人信息可能已被泄露,包括電子郵箱地址和客戶編號等。


“本次數據泄露事件從側面也反映出公司的數據安全保障還存在提升空間,隨著未來輔助駕駛、自動駕駛功能的逐步實現,保障數據安全勢在必行?!睆埛接绶Q。


清華大學車輛與運載學院教授楊殿閣介紹,智能汽車的數據來源非常復雜,既包括車載攝像頭、激光雷達、毫米波雷達等感知的地理信息、交通信息、行人信息等外界環境感知數據,也包括駕駛員個人信息、車輛行駛軌跡、車載總線數據等車內數據。另外,手機與車機結合以后,在車上還會存儲個人社交賬號、支付密碼、家庭信息、車架號等個人隱私數據。如果對智能汽車數據安全放任不管,會對國家和社會的安全,對個人隱私保護帶來重大隱患。智能汽車需要守住數據安全底線。


中國電動汽車百人會副理事長兼秘書長張永偉指出,應當從戰略高度認識智能網聯汽車數據安全管理的重要性,盡快形成適應不同車型、不同技術水平的汽車數據安全整體解決方案,以引領智能網聯汽車產業快速發展。


奇安信副總裁孔德亮則認為,智能網聯的發展為行業帶來了機遇,同時也帶來了多重挑戰。這個行業興起不久,尚未成熟,電氣化架構也在不斷更新,從技術上還需要有更多的沉淀。另一方面,企業和機構的安全意識也要不斷加強,要從車輛生產制造環節就把信息安全考慮進去,未來不僅要有防碰撞測試,還需要有信息安全的檢測室。


此外,孔德亮表示,整車信息安全還需要有更多行業標準出臺,一方面是強制要求車輛必須通過信息安全認證才能上市,一方面也是規定信息安全的范圍。


近年來,我國也在加快制定相關法律法規,保護數據安全。其中,工信部發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》中明確,企業應當建立健全汽車數據安全管理制度,依法履行數據安全保護義務,明確責任部門和負責人。建立數據資產管理臺賬,實施數據分類分級管理,加強個人信息與重要數據保護。建設數據安全保護技術措施,確保數據持續處于有效保護和合法利用的狀態,依法依規落實數據安全風險評估、數據安全事件報告等要求。


此外,我國首部針對汽車數據安全制定的法規——《汽車數據安全管理若干規定(試行)》則首次清晰界定了“汽車數據處理者”和“重要數據”類型等內容。上述法規規定,涉及個人信息主體超過10萬人的個人信息就屬于重要數據,在數據出境等方面受到限制。


無錫數字經濟研究院院長吳琦認為,蔚來事件引發了人們對于平臺數據安全的思考。近兩年,我國通過數據安全法等法律法規已經對企業提出了要求,但目前有一部分條例主要是依靠企業的自覺性,存在“守門人”自治的情況?!耙虼宋艺J為,從整個平臺角度進一步約束、加強立法的角度來考慮事情是有必要的?!?/p>


新京報貝殼財經記者 張冰 羅亦丹 林子

編輯 岳彩周 

校對 楊許麗