當(dāng)前短訊！蔚來準(zhǔn)備如何應(yīng)對(duì)用戶信息泄露事件？

近日，網(wǎng)上流傳了一份關(guān)于第三方違法出售蔚來信息數(shù)據(jù)并明碼標(biāo)價(jià)：其中包括蔚來內(nèi)部員工數(shù)據(jù)22800條，車主用戶身份數(shù)據(jù)近40萬條，還包括用戶地址信息、車主貸款數(shù)據(jù)等。

雖然這份信息的來源有待考證，不過蔚來還是對(duì)于近日發(fā)生的信息泄露問題進(jìn)行了回應(yīng)。

(資料圖片)

12月20日下午，蔚來首席信息安全科學(xué)家、信息安全委員會(huì)負(fù)責(zé)人盧龍?jiān)谖祦砉俜缴鐓^(qū)發(fā)布公告稱，2022年12月11日，蔚來公司收到外部郵件，聲稱擁有蔚來內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬美元（當(dāng)前約1570.5萬元人民幣）等額比特幣。

據(jù)盧龍透露，在收到勒索郵件后，蔚來當(dāng)天即成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對(duì)，并第一時(shí)間向有關(guān)監(jiān)管部門報(bào)告此事件。經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

而關(guān)于具體的信息泄露渠道，蔚來并沒有進(jìn)一步公布。

蔚來創(chuàng)始人李斌則回應(yīng)，“非常抱歉發(fā)生這樣的事。沒有保護(hù)好用戶信息安全是我們的責(zé)任，向大家深表歉意，會(huì)對(duì)此次事件給用戶帶來的損失承擔(dān)責(zé)任。我們會(huì)協(xié)同有關(guān)部門深入調(diào)查此次事件，對(duì)竊取和買賣此次事件相關(guān)數(shù)據(jù)的違法犯罪行為追查到底?！?/p>

值得注意的是，這也是我國(guó)車企第一次被公開的用戶個(gè)人信息泄漏。

蔚來的回應(yīng)有幾層含義？

首先，在聲明中，沒有公布黑客入侵的具體途徑，或者辟謠非內(nèi)部泄露所致。對(duì)于進(jìn)一步公開信息，讓用戶了解真實(shí)情況，蔚來需要同步更新的調(diào)查進(jìn)展。

其次，蔚來首席信息安全科學(xué)家、信息安全委員會(huì)負(fù)責(zé)人盧龍?jiān)谏鐓^(qū)中還解釋稱，本次事件不涉及車輛使用中產(chǎn)生的數(shù)據(jù)，比如行車軌跡、座艙數(shù)據(jù)，也不影響車輛的架乘或遠(yuǎn)程控制。不過，關(guān)于此后蔚來如何繼續(xù)改進(jìn)，維護(hù)用戶信息安全，則沒有進(jìn)一步回應(yīng)。

同時(shí)，如果不是網(wǎng)絡(luò)上流傳出相關(guān)售賣信息，早在12月11日發(fā)生的黑客勒索事件，蔚來為何沒有第一時(shí)間回應(yīng)并提醒用戶注意潛在風(fēng)險(xiǎn)，而是直到事件發(fā)酵才選擇發(fā)布公告，在事件處理方式上欠妥。

而在蔚來App上，很多蔚來車主也十分關(guān)心，在信息泄露后，接下來應(yīng)該注意什么。

比如，車主應(yīng)該提防哪些風(fēng)險(xiǎn)，怎么界定損失和數(shù)據(jù)泄露有關(guān)，以及聲稱“要對(duì)用戶帶來的損失承擔(dān)責(zé)任”會(huì)如何承擔(dān)等等。

據(jù)品駕了解，有第三方數(shù)據(jù)安全技術(shù)公司正在幫助蔚來做信息安全改造，目前蔚來正在修復(fù)潛在的信息泄露風(fēng)險(xiǎn)。

用戶數(shù)據(jù)信息泄露，比我們想象的還要多

放眼國(guó)際，跨國(guó)車企的信息泄露，包括用戶個(gè)人信息泄露也不在少數(shù)。

在蔚來之前，今年汽車行業(yè)最大的用戶數(shù)據(jù)泄露來自于豐田，就在10月，豐田發(fā)現(xiàn)，T-Connect網(wǎng)站源代碼的一部分被錯(cuò)誤地發(fā)布在GitHub上，其中包含存儲(chǔ)客戶電子郵件地址和管理號(hào)碼的數(shù)據(jù)服務(wù)器的訪問密鑰。這使未經(jīng)授權(quán)的第三方可以在2017年12月至2022年9月15日期間訪問296,019名客戶的詳細(xì)信息，這造成的豐田車主數(shù)據(jù)泄露達(dá)30萬人。

不過，豐田在聲明中強(qiáng)調(diào)，使用其T-connect服務(wù)的約29.6萬名客戶的個(gè)人信息可能已被泄露，包括電子郵箱地址和客戶編號(hào)等，但其他敏感信息如姓名、電話號(hào)碼和信用卡信息等均未受到影響。從用戶個(gè)人信息泄露程度來看，蔚來此次的影響要高于此前豐田的用戶數(shù)據(jù)泄露。

值得注意的是，關(guān)于此次事件豐田的處理方式。

根據(jù)外媒報(bào)道，豐田汽車已就此事向受影響的客戶發(fā)送了電子道歉郵件，并且建立了網(wǎng)站表單，從而使客戶可以查看自己的電子郵箱是否在可能被泄露的范圍內(nèi)。此外，豐田汽車還設(shè)立了專門的呼叫中心，以回答客戶針對(duì)信息泄露的相關(guān)問題。

2021年，大眾及奧迪也經(jīng)歷了數(shù)據(jù)泄露問題，受影響的客戶及潛在買家超過330萬人。泄露的數(shù)據(jù)包含相關(guān)客戶和潛在買家的姓名、地址和電話號(hào)碼等個(gè)人信息，美國(guó)和加拿大的90,000名客戶的“更機(jī)密”數(shù)據(jù)被泄露，包括獲得貸款。資格信息和社會(huì)安全號(hào)碼等。

關(guān)于此次事件，大眾的處理方式包括：敏感數(shù)據(jù)已暴露的個(gè)人將通過注冊(cè)代碼獲得免費(fèi)信用監(jiān)控。這意味著，被暴露信息的個(gè)人，可以監(jiān)控到自己的信息是否受到損害。

其次，聘請(qǐng)外部網(wǎng)絡(luò)安全專家調(diào)查這起事件。

同時(shí)，為那些認(rèn)為自己受到數(shù)據(jù)泄露影響的人設(shè)立了一個(gè)幫助中心。這一點(diǎn)可以平息更多用戶及車主的疑問。

從豐田及大眾的經(jīng)歷來看，用戶信息數(shù)據(jù)泄露，其實(shí)在汽車行業(yè)并非個(gè)例。

有媒體報(bào)道，很多車企在遭遇黑客勒索時(shí)，會(huì)選擇繳納贖金息事寧人。這種暗戳戳的交易，沒有車企會(huì)選擇主動(dòng)承認(rèn)，因?yàn)檫@意味著在面對(duì)用戶信息安全問題上，車企選擇隱瞞和妥協(xié)。

這種做法的前車之鑒就是2016年，美國(guó)網(wǎng)約車巨頭優(yōu)步（Uber）經(jīng)歷的一起重大黑客攻擊事件。因Uber前首席安全官約瑟夫·沙利文在收到匿名郵件后，第一時(shí)間選擇以發(fā)現(xiàn)安全漏洞賞金的名義向黑客支付了價(jià)值10萬美元的比特幣，并與黑客簽訂保密協(xié)議。

最終該事件被暴露，瑟夫·沙利文被起訴。

所以，蔚來在回應(yīng)中稱不會(huì)支付贖金的做法，并不是與黑客硬鋼，而是這種做法并不能真正保護(hù)數(shù)據(jù)不被曝光?；ㄥX不但不能保平安，可能還犯法。

車企都擁有哪些用戶隱私數(shù)據(jù)？

相比于政府機(jī)構(gòu)、國(guó)際組織、門戶網(wǎng)站、航空公司等數(shù)據(jù)泄露重點(diǎn)行業(yè)，最近幾年，汽車制造商的數(shù)據(jù)泄露問題也越來越普遍。

另一方面，智能汽車時(shí)代的到來，除了用戶個(gè)人信息數(shù)據(jù)，5G、網(wǎng)聯(lián)化、車載傳感器所獲得的用戶行駛數(shù)據(jù)，所涉及的隱私和安全問題同樣不可小覷。

國(guó)家工業(yè)信息安全發(fā)展研究中心的一項(xiàng)調(diào)研顯示，一輛智能網(wǎng)聯(lián)汽車每天至少收集10TB的數(shù)據(jù)，不僅數(shù)量極大，而且涉及到駕乘人員的出行軌跡、習(xí)慣、語(yǔ)音、視頻等等，一旦遭受侵害會(huì)泄露個(gè)人隱私。

國(guó)家工業(yè)信息安全發(fā)展研究中心也建議車企，從兩個(gè)角度提升數(shù)據(jù)安全方面的能力：

一是提升核心基礎(chǔ)技術(shù)的安全可控能力，即涉及車輛本質(zhì)上的安全。

二是提升數(shù)據(jù)安全綜合防護(hù)能力，利用新一代的信息技術(shù)，包括區(qū)塊鏈技術(shù)、流量檢測(cè)技術(shù)、國(guó)密技術(shù)等，提升綜合防護(hù)的能力。

蔚來此次的用戶數(shù)據(jù)信息泄露僅僅是冰山一角，也提醒整個(gè)行業(yè)關(guān)于強(qiáng)化技術(shù)手段和管理機(jī)制的重要性。

同時(shí)，蔚來的此次做法并沒有為國(guó)內(nèi)車企，尤其是新造車頭部企業(yè)所應(yīng)該樹立的代表性。作為一家用戶企業(yè)，蔚來的信息泄露之所以得到更多關(guān)注和討論，也是因?yàn)槲覀兤诖患矣脩羝髽I(yè)可以在危機(jī)事件中拿出真誠(chéng)對(duì)待用戶的樣板。

我們也將關(guān)注蔚來此次用戶信息泄露事件的后續(xù)進(jìn)展。

關(guān)鍵詞： 信息泄露 信息安全 黑客攻擊