蔚来汽车遭遇信息安全“事故”! 12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,12月11日,公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。 当日深夜,针对用户数据泄露一事,蔚来创始人、CEO李斌在蔚来官方社区表示:“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。” 受到此消息影响,截至12月20日收盘,蔚来港股报86.35港元/股,下跌4.95%,总市值为1443亿港元。 部分用户基本信息、车辆销售信息泄露 近日,一张流传于网络的图片显示,有人宣称破解了蔚来大量数据,并公开叫价出售。图片内容称泄露数据包含了蔚来内部员工数据228000条,从总裁到一线员工;车主用户身份证数据3990000条,用户地址数据650000等信息,勒索要价从0.1-0.25比特币不等。 其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。 这些信息被明码标价,价格均以比特币为单位,比如2.28万条员工数据,售价0.15比特币;3.99万条车主身份证数据,售价0.25比特币;全部数据打包,售价1比特币。 图源:网络 12月21日,蔚来在港交所公告,2022年12月20日,公司得知2021年8月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。 图源:蔚来公告 此外,蔚来承诺其对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意,并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。蔚来在此重申其对保护用户数据安全及隐私的承诺。 针对用户数据泄露一事,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。 从目前来看,蔚来用户对此次数据泄露反应强烈。一位蔚来汽车用户在某平台上称,“这是怎么被窃取的,得查清楚,信息安全方面有漏洞,肯定是严重的问题。蔚来能够认真对待这个事情,应该是已经有了对策,希望把这个事情处理好。” 有媒体致电蔚来客服,其客服人员表示,针对用户数据泄露一事,不会做出主动赔偿,但对本次事件所造成的损失承担责任。蔚来客服同时表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。 据了解,这是今年以来蔚来汽车遇到的第二起与信息安全和加密货币相关的事件。 蔚来在今年4月的一份内部通知中表示,2021年9月,蔚来合规和风险管理部收到研发部门一员工疑似不当利用公司服务器资源挖掘虚拟货币的相关投诉。后经调查发现,该员工利用其担任某集群服务器管理员的职务便利,自2021年2月开始不当利用公司服务器算力资源违规进行虚拟货币以太币的数字挖掘作业,并从中获利。 处理通报还称,该行为严重违反了蔚来汽车公司规定,并涉嫌违反《刑法》第285条第二款非法控制计算机信息系统罪,对公司计算机系统安全和商业信息安全造成负面影响。 汽车数据安全事件频发 值得一提的是,随着汽车智能化加速,相关数据泄露事件频发,曾遭遇到类似困扰的车企并非只有蔚来。 丰田汽车在今年10月表示,发现在T-Connect服务中有296019条客户信息疑似被泄露,泄露的内容包含了客户电子邮件地址和客户号码,受影响的客户为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。 对于信息泄露原因,丰田汽车表示,从2017年12月到今年9月15日,开发T-Connect网站的承包商不小心上传了部分带有公共配置的源码。 今年5月,通用汽车曾发布声明称,其注意到2022年4月11日至29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。尽管通用汽车方面在发现问题后立刻暂时禁用了该功能,但黑客仍旧通过在线移动应用程序获取了部分客户的个人信息,包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏、安吉星所订阅的套餐、个人头像、搜索历史等。 “客户的个人信息安全对我们至关重要。我们正在迅速采取行动,继续保护我们的客户及其个人信息。”通用汽车发言人在一份声明中表示。 在2021年6月,大众汽车也曾表示,约有330万大众、奥迪汽车的车主和潜在客户的个人信息遭到泄露,具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。 大众汽车方面称,这是由于其供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。 数字化监管提升新能源汽车安全 近年来,我国新能源汽车产业发展取得显著成效,产销量连续7年位居全球首位、产品技术水平快速提升、产业生态体系逐步建立、配套环境不断完善。 但随着新能源汽车保有量的快速增长以及老旧车辆不断增多,产品质量安全风险问题引发关注,而部分企业质量保障体系仍然有待健全完善;同时,网络安全、数据安全等新问题的出现,使新能源汽车安全的内涵和外延也在发生变化。 有数据显示,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。而目前,大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这会导致车内敏感信息泄露或被篡改,以及车辆行驶中的异常行为,还有可能危及人的生命安全。 如何确保汽车安全有序运行,数据合规使用正成为社会关注的焦点。 日前,工信部和公安部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,要求在试点城市的限定公共道路区域内开展搭载自动驾驶功能的智能网联汽车上路通行试点,试点车企应具备汽车功能安全、预期功能安全、网络安全、数据安全、软件升级、风险与突发事件等安全保障能力。具备智能网联汽车产品安全监测服务企业平台,可对试点车辆的安全状态进行监测,并建立报告机制。 今年4月,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。 在个人信息安全防护方面,《意见》明确提出,企业要制定内部管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。 今年12月,国家工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》)的通知,明确了数据的分类分级制度,制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。 图源:中华人民共和国工业和信息化部 《办法》规定了数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;此外明确规定了存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。 华西证券认为,《办法》出台的目的是落实《网络安全法》《数据安全法》《个人信息保护法》《中华人民共和国国家安全法》的规定,规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。 (微信公众号“财智头条”综合自:界面新闻、每日经济新闻、中国证券报等) 编辑:白静 校对:袁凯 审核:龚紫陌 |