用户数据被盗,蔚来遭黑客勒索1500万。作者 | 金不换出品 | 电动公会新能源车企再遭信息安全“事故”!01百万条信息被公开售卖日前,一张流传于网络的图片显示,有人宣称破解了蔚来汽车大量数据,并公开叫价出售。其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数
蔚来被黑客勒索1500万用户数据被盗。
作者 | 金不换
出品 | 电动公会
新能源汽车企业再次遭遇信息安全事故!
01
百万条信息被公开出售
最近,一张在互联网上流传的图片显示,一些人声称破解了大量威来汽车的数据,并公开出售。列出的数据包括威来的运营和客户隐私,包括威来员工数据、订单数据、用户和企业代表的联系人数据,以及车主身份证、用户地址,甚至车主的亲密关系、车主贷款数据等极其私密的信息。
这些信息明确定价,价格以比特币为单位,如2.28万员工数据、0.15比特币、3.99万车主身份证数据、0.25比特币、1比特币等。
威来汽车对数据泄露的勒索态度坚决。威来汽车12月20日发布的声明显示:
12月11日,蔚来收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约1570.5万元)。
公司收到勒索邮件后,立即成立专门小组进行调查和处理,并立即向有关监管部门报告。
经初步调查,被盗数据是2021年8月前部分用户的基本信息和车辆销售信息。
据公开信息,蔚来汽车于2021年1月至7月交付49887辆,2020年交付43728辆,2019年交付20565辆,2018年交付11348辆。目前还不清楚官方说的部分用户的比例。
虽然威莱正式成立了一个专门的调查和响应小组,并立即向相关监管机构报告了这一事件,并与相关部门合作进行深入调查。12月20日晚,威莱创始人兼董事长李斌也在威莱官方社区向用户数据泄露道歉,但仍无法消除用户的担忧。
随着车辆智能化程度的逐步提高,数据安全也将直接影响驾驶安全。我们在威莱社区评论区看到,许多用户担心数据泄露后的车辆安全。一些用户表示,他们希望汽车公司删除软件中的个人信息,以免影响自己和家人。
威来信息安全委员会负责人卢龙表示,数据泄露不影响车辆驾驶或远程控制,也不涉及车辆使用中产生的数据(如驾驶轨迹、驾驶舱数据)。目前,他们仍在进一步调查数据泄露的原因和影响范围。
相关技术分析师表示,泄露的大部分数据都是存储在后端、数据库或云中的个人数据。如果黑客选择攻击车辆本身,仍然有一定的技术门槛,车辆本身的安全网关也将被拦截。
02
谁来保护用户信息安全?
如今,随着汽车智能化和电气化的逐渐普及,信息数据与用户驾驶安全和个人隐私之间的关系越来越密切。威来用户数据被盗引发了一系列关键问题和思考。在新能源汽车全面发展的背景下,谁来保护用户数据和大数据安全?
让我们看看网民的态度。大多数网民强烈支持国有数据收集,即将数据权转让给国有第三方公司。在他们看来,给国家身份信息比给资本家更放心。
例如,卫士通是中国电子科技集团大型央企的三级子公司 1998 年,2008 年上市,被称为 " 中国信息安全第一股 ,权威性高,绝对能保证数据安全。如果威来真的把数据权交给了类似卫士通的第三方公司,信息泄露的风险会低很多。
但而,这是一个切实可行的方案吗?各大汽车公司愿意交出数据权吗?
你知道,对于那些深入从事汽车智能的汽车公司来说,其数据价值很难用人民币计算。数据是它的根源,被称为未来的趋势AI正是因为数据的支持,技术才不断进化和完善。比如威来一直在思考的自动驾驶技术,离不开大量驾驶数据的喂养。
如果汽车公司的数据被接管,那么其长期积累的大量数据优势可能会大大降低。
然而,汽车公司本身真的能拥有这些数据的所有权吗?根据法律规定,无论企业以何种技术方式收集个人信息,数据本身仍属于人民,汽车公司只有算法,不得随意使用。
如果车企将数据权转让给第三方公司的路径不可行,也可以从加强监管规范、落实车企责任等方面提高车辆数据安全性。
从行业发展的角度来看,首先要加强监管规范。早在2020年,《新能源汽车产业发展规划(2021-2035)》就发布,明确要完善安全体系,构建网络安全体系。
今年4月,工业和信息化部、公安部、交通部、应急管理部、国家市场监督管理局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出监测车辆网络安全状态,加强车辆运行数据的分析和挖掘。
在促进新能源汽车产业发展的同时,监管规范也应与时俱进,在发展过程中不断规范,以促进行业未来更健康的发展。随着相关文件的密集发布,对汽车数据的监管将越来越严格。
其次,新能源汽车企业是规范数据信息安全保护责任的主体,这也是我们应该强调的一部分。
除了相关部门强制上传新能源汽车驾驶数据外,更重要的是车主的个人信息、车辆信息和相关数据信息。这些信息的收集者、存储器和用户都是新能源汽车公司,并享受这些信息的红利和经济价值。
上述意见还明确规定,企业应实施关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求;建立健全全流程数据安全管理体系,按照法律、行政法规的有关规定收集、存储、使用、加工、传输、提供、披露数据。
在个人信息安全保护方面,《意见》明确提出,企业应制定内部管理和操作程序,对个人信息进行分类管理,并采取相应的安全技术措施,防止未经授权的访问和个人信息泄露、篡改和丢失。
因此,汽车公司是车主和其他个人相关信息的第一责任人。如果出现问题,我们不仅可以道歉,承认错误,还可以表达加强信息安全保护的决心。
事实上,威莱用户数据被盗并不是该行业第一次引发热烈讨论,包括特斯拉事故的每一次都会引发新能源汽车信息安全保护责任话题的热烈讨论,网络安全、数据安全等新问题经常被关注。不仅威莱企业需要关注和审查,整个新能源汽车行业企业都应该关注和思考,这是一个行业警告。
— END —
原创文章,作者:电动公会,如若转载,请注明出处:https://www.car-metaverse.com/202212/231130232.html
