近日,蔚来汽车被黑客重金勒索事件引发了热议。
据蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,12月20日,有不法人士在网上出售蔚来相关数据。
而曾在2022 年 12 月 11 日,蔚来公司就收到了外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元等额比特币。但蔚来没有妥协,故而发生了后续事件。
蔚来当天即成立专项小组进行调查与应对,并第一时间向监管报告此事。
12月20日晚,就数据泄露一事,蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉。并也声明“不会与不法行为妥协”。卢龙则进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。
据了解,目前已经被确认窃取的数据,为2021年8月之前部分用户基本信息和车辆销售信息。
12月21日早,蔚来发布公开声明,承诺其对因数据泄露事件给用户造成的损失承担责任,并对此次事件深表歉意,还提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。
被数据泄露的不只是蔚来
针对蔚来被不法分子勒索事件,有相关媒体随后在暗网中调查发现,近几年,汽车行业遭遇黑客攻击和勒索的情况并不罕见,包括一众知名汽车品牌。根据一份统计自“暗网交易市场”、“长安不夜城”等五个世界知名暗网平台的数据显示,2020年12月至今,共有980起与车企数据泄露事件在暗网平台发布,包括奔驰、长安、奥迪、丰田、大众等。
2022年12月13日,13万奔驰车主数据在暗网遭公开;去年10月25日,奔驰销售管理平台源代码被Against The West 黑客组织公开。
2022年8月13日,中国长安汽车股份有限公司用户数据泄漏,在 Breached Forums上标到了20000美元,数量级据称超过200万条。
2022年6月23日,在暗网交易市场,奥迪汽车的销售数据被售卖,价格200美元,数量级据称179万条。
2022年10月,丰田汽车发布声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露;去年6月,大众汽车曾表示,有将近330万名客户或潜在买家的数据遭泄露。除此以外,现代、雪佛兰等汽车品牌也出现数据泄漏、暗网交易的情况。
根据统计数据,从2020年12月至今,去掉异常数据,平均每个月有7企与车企数据泄露事件在五个暗网平台上发布;其中超过98%的泄露数据为多个车企混合的车主数据,泄露渠道可能为车管所、经销商、第三方平台等。
事实上,中外汽车企业遭遇黑客攻击和勒索的情况时有发生。据了解,很多车企在面对黑客勒索时,更多倾向于采用“息事宁人”的方式,支付赎金以求低调处理。而不是像蔚来这样,硬怼回去。
“窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。”蔚来在声明中表示,将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。
“中汽协支持蔚夹汽车的声明,不应向犯罪行为妥协。”中国汽车工业协会秘书长助理兼技术部部长王耀对记者表示。
“当然,蔚来这次被要的赎金太高,远超行业水平。”有业内专家如是说道。
车企如何保护用户数据安全?
据统计,一辆智能网联汽车每天会产生大约10TB的数据,驾乘人员的出行轨迹、驾乘习惯、车内语音图像等个人信息都面临着被泄露的风险。黑客可通过网络攻击劫持或控制车辆行驶,实施关闭引擎、突然制动、开关车门等操控。2020年全球针对智能网联汽车的攻击达到280余万次。
数字化、物联网背景下,智能汽车数量大增。随着汽车数据规模壮大,汽车数据处理能力的增强,汽车数据安全问题和风险隐患也日益突出。
数据的收集、存储和处理都有极为严格的规范,特别是去年《汽车数据安全管理若干规定(试行)》和《个人信息保护法》的相继出台,对汽车产业的数据使用提出了更为明确的规范和要求。如何保护好用户数据安全,成为车企的必做题。
汽车数据包括了汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据,汽车数据处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。
首先,要对数据进行合理分类。在收集数据时进行分类分型,针对不同的类型利用手段去处理数据。例如,与用户相关的隐私数据,当前国家有明确的法律法规要求车企对这类数据进行保护,并对不同的使用场景,对数据要进行明确的分类分级,对敏感数据进行隐匿、变形等脱敏处理。
其次,不过度收集车主数据。例如,默认不收集原则(除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;精度范围适用原则(根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率)。
再次,要注意供应商安全。智能汽车会使用到多种供应商软件,这些软件是为了提升车主的驾驶体验,但也会收集车主数据,因此要选择安全的供应商,对供应商软件进行安全管控。另外,也可以统一车主账号身份管理,保护用户账号数据安全。
最后,引用中国汽车工业协会秘书长助理兼技术部部长王耀的一段话,面对信息窃取、信息勒索、暗网公开的网络违法犯罪行为,需要更多车企站出来,联动相关机构和汽车行业,严厉打击网络黑产,推动整车信息安全技术的提升,更好的保障用户信息安全。
