蔚来首席信息安全科学家、信息安全委员会负责人卢龙近日在蔚来官方社区发布声明称,该公司收到外部邮件声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来创始人李斌随后表示:“会对此次事件给用户带来的损失承担责任。将协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。”

据了解,本次事件为国内新能源车企中一次规模较大的数据泄露事件,由此引发多方关注。业内人士认为,汽车数据安全警钟再次敲响,各方需高度重视,加速完善汽车数据安全建设。


(资料图片)

■■信息被明码标价

2022年12月20日,有不法人士公开宣称破解蔚来大量数据,并给了蔚来两次机会买断这部分数据以保护车主和用户,遭拒后决定将数据有偿曝光。

据了解,蔚来本次被泄露的数据均被明码标价:蔚来内部员工数据22800条,包含总裁到一线员工,每条售价0.15比特币;车主用户身份信息399000条,每条售价0.25比特币;用户地址信息650000条,每条售价0.15比特币;蔚来注册用户数据4860000条,每条售价0.15比特币……

记者查阅蔚来官网得知,在进行车辆订购时,蔚来会收集购买人姓名、手机号码、有效证件号码、上牌城市、交付中心、车型及车辆配置信息、价款及支付信息。事件发生后,不少蔚来车主感到不安,要求蔚来公布数据泄露具体内容、相应风险、补偿方案等。例如,有蔚来车主质疑,蔚来提到的承担给用户带来的损失是相对模棱两可的说法。“损失本来就是无法判断的,自然也没办法去计算赔偿。”

有数据显示,一辆智能网联汽车每天会产生大约10TB的数据。2021年,国家网信办等部门联合发布的《汽车数据安全管理若干规定(试行)》中对汽车数据进行了范围界定,汽车数据包括汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和其他重要数据。

不过,卢龙表示,本次事件不涉及车辆使用中产生的数据,如行车轨迹、座舱数据,也不影响车辆的驾乘或远程控制。同时,事件发生后,蔚来对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。截至记者发稿,蔚来此次数据泄露的原因和影响范围还在进一步调查中。

■■数据安全问题多发

智能电动汽车的快速发展和普及,给车企和行业车辆数据安全建设提出了更高的要求,在初期未被重视的数据安全问题逐渐浮出水面。有数据显示,仅2022年上半年,针对车联网平台的恶意网络攻击行为超过100万次,较2020年同期增长超过80%。

“智能网联汽车数据安全问题凸显的原因在于,智能网联汽车发展速度较快,汽车采集环境的数据和车内信息数据大幅增长。”乘联会秘书长崔东树表示,不同于智能手机,智能网联汽车数据安全涉及问题更多、更为敏感。

事实上,数据泄露事件并非在汽车行业内首次发生,近年来,大众、通用、丰田等知名车企均遭遇过数据泄露事件。

2021年6月,大众汽车表示有330万名客户的数据遭泄露,原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,数据包括客户和潜在买家的姓名、地址以及电话号码等个人信息。2022年5月,通用汽车表示,其注意到2022年4月11日至29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下客户的奖励积分被兑换成礼品卡。据了解,黑客通过在线移动应用程序获取了部分客户的个人信息包括姓名、邮箱地址、邮寄地址等。2022年10月,丰田汽车表示,使用其T-Connect服务的约29.6万条电子邮件地址、客户电话号码等客户信息可能被泄露,受影响的客户为自2017年7月以来使用电子邮件地址注册该服务网站的个人用户。

■■安全体系正逐步建立

通常情况下,车主无法较快察觉出汽车数据的泄露。同时,针对汽车数据安全问题一直以来较难准确定责。业内人士指出,虽然目前此类事件难以根治,但车企对于数据泄露事件要勇于承担责任,并且要及时告知车主。数据泄露事件发生后,李斌就强调,蔚来会承担用户损失,并呼吁行业不要向数据买卖者妥协。

事实上,汽车数据安全既会涉及到个人隐私,还会涉及到国家安全。针对新能源汽车数据安全管理问题,国家相继出台了《汽车数据安全管理若干规定(试行)》《信息安全技术网联汽车采集数据的安全要求》等法规。不过,现阶段我国新能源汽车数据安全法规建设尚处于起步阶段,在相关法律法规制定、具体执行等方面仍需进一步细化。

天风证券分析师缪欣君指出,考虑到现阶段车端、路端、网络端的安全保护基础较为薄弱,车联网安全市场为纯增量市场。

2022年3月,工信部印发的《车联网网络安全和数据安全标准体系建设指南》明确,到2023年底,将初步构建起车联网网络安全和数据安全标准体系,完成50项以上急需标准的制订。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。

推荐内容