【导读】
「车主数据要“裸奔”」
蔚来的用户数据被盗了。
12月20日下午,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告表示,2022年12月11日蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索约225万美元(当前约1570.5万元人民币)的等额比特币。
蔚来称,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
包括用户的身份证、地址、亲密关系、贷款等……
12月21日,蔚来集团发布公告,承诺对因数据泄露事件给用户造成的损失承担责任。
泄露数据疑似被违法出售
在此次事件中,黑客组织盗取了蔚来约2.28万条内部员工数据、39.9万条车主ID数据、65万条用户地址数据以及485万条蔚来注册用户数据。
蔚来首席信息安全科学家、信息安全委员会负责人卢龙表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
12月20日晚,一张疑似黑客售卖从蔚来处窃取数据的截图在社交平台传播。黑客声称“给了蔚来两次机会,但蔚来不愿买断这部分数据保护车主和用户,因此决定有偿曝光。”
黑客要求出售的数据与勒索相同,都以比特币作为支付形式,要价从0.1-0.25比特币不等。
根据证券时报报道,对于用户信息泄露,蔚来客服表示,公司目前不会对此做出主动赔偿,但如果出现“接到骚扰电话”等问题,公司可以协助解决。
12月20日晚,蔚来创始人、董事长、首席执行官李斌就数据泄露一事,在蔚来官方社区致歉。
李斌表示,“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
蔚来或将遭到行政处罚
此次事件是蔚来近年来第二次发生重大信息安全事件。
今年4月,蔚来在一份内部通告中表示,2021年9月1日,蔚来风险管理部门收到相关投诉表明,该公司的一位员工利用职位之便,使用公司内部服务器进行了以太坊挖矿,时间长达一年以上,经过内部授权调查,蔚来证实该事件属实。
而在此次数据泄露中,蔚来企业作为对数据有安全义务的一方,对所有的被泄露个人信息的主体都有赔偿责任。因而在本次事件中,无论是员工还是客户,作为泄露个人信息的受害者,蔚来公司都需要承担相应责任。
根据现行法律法规,如果监管部门查实蔚来存在处理个人信息未履行本法规定的个人信息保护义务的,对蔚来最高可能处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
数据泄露,不止蔚来
相较于传统燃油车,智能汽车的数字化场景更多。
个性化的服务往往基于对车主个人信息、出行轨迹、生活习惯等数据的大量授权、采集与分析,这也引发了外界对智能汽车数据安全的担忧。
此前,包括通用、丰田等知名车企,亦有遭遇黑客攻击,并导致数据外泄的先例。
2022年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号。
2022年4月11日至29日,通用汽车注意到期间在线客户账户出现可疑登录,导致未经授权使用客户奖励积分兑换礼品卡。
2022年1月,柏林警方获悉“特斯拉的所有车型都会对车辆环境进行永久性、不显眼的视频记录,并将这些记录导出”。
2021年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露。
互联网黑产,正在盯上重心在造车但还尚未建立足够防护意识的新型数据安全领域。
对于数据被盗,有网友表示,厂商什么数据都想收集,但是就是不舍得在安全方面多投入来保护。
参考文章
1.第一财经《蔚来信息泄露被勒索225万美元 汽车网络安全值得关注》
2.智能参考车《蔚来车主数据泄露遭勒索,李斌表态决不妥协!网友:有钱请明星没钱买断保护用户?》