蔚来被↔黑,李斌“落੩泪⊕”。
Ǝ
编者按:本文来自微信公众号 深途(ID:shentucar)⇑,作≤者:黎明,编辑:艾小佳,创业邦经授权发布。
12月20日,蔚来汽车的信息安全负责人发了一个公告,¾说公司被人勒索了,对方声称搞到了蔚来内æ部数据,张口要225万美元,比特币支£付。
勒索的邮件在9ૠ天前收ⓐ到,蔚来调查后φ发现,对方是来真的:
被窃取数据为2021年8Β月之ζ前的部分用户基本信息和车辆销售信息࠹。
蔚来表态ઞ:坚决不会向网络犯罪行为低头。20日晚ੋ上,蔚来老板李斌出来道歉,说没保护好ý用户的信息安全,愿意承担责任。他重申:不会与不法行为妥协。
与此同时,一张有人兜÷售蔚来数据的聊天截图在网上流传。这人宣称破解♦了蔚来大量数据,给了蔚来两次机会,但没谈拢,现在公开对外出售,只要1个比特币 (约12万人民币) ,就可以全部拿Ð走。
稍微有点法律常识的人看到这里,就能明੍白这肯定是犯π法了。这不仅ટ侵犯了个人隐私,还构成敲诈勒索。
对方倒是显得理直气·壮,说错不在我,φ是因为蔚来不给钱,这才有偿曝光。他认为Å蔚来有错:
宁愿花费℘千万મ请歌手,也不愿意买断ⓠ这部分数据来保护各位车主和用户。
不愧是高智商犯罪。如果可Ņ以给这事再加一项ρ罪名,那♪一定是绑架罪——道德绑架。
勒索者公开倒卖的è截图信息未得到蔚来官方确≡认,但也没否认。不过数૧据泄漏,是板上钉钉了。
这应该是近两年来汽车行业最严重的数据泄露事故之一。之前大家总担心个人隐私泄露,因为一些手机·APP动í不动就违规收集个人信息,一不小心就“裸奔”。现在,智能汽车的车主们↓,可能也离“裸奔”不远了。
在官方通告里,∞蔚来没说具体泄露了哪些数据。但网传的卖数据的人 (以下ñ简称“勒索者”) 把清单列的明明白白。
这些数据可以理解为一个超大数据包,内部又∴∀分成很多子集,但总体上可以分为两大类:蔚来的公司数据,车主的个人数据。
公司数据主要包括³以♬下这▤些:
车主数据包括ó如下这će;些Ι:
∪所以在这起数据泄露案中,蔚来↑车主和蔚来公司都是受b2;害者。
首先受影ઽ响最⊄大的肯定是车主。Λ从身份证到地址,甚至贷款信息都泄露了,这都是黑灰产长期搜寻的对象,被泄露的车主以后很可能骚扰电话没完没了。
值ˆ得一提的是这里还有个“车主亲密关系数据”,懂数据分析的人可以在这个数据基础上挖掘车主的社会关系。比如Τ“紧急联系人”,骗子拿到这个数据就可以冒充你,给你亲人发短信,说车撞了快ⓚ打钱来。
蔚来公司也Ë会受到影响,一ⓗ些比较重要的数据泄露了。比如22800条内部员工数据,总裁到一线员工都包含在内了。这些数据对普通人可能没啥价值,但对从事新能源招聘和猎头工作的人来说非常值钱。Õ
À一ϑ位汽“车猎头对深途说,前些年很多猎头会买数据,要不然就得一个个打电话去问,求着问公司组织架构。“花点钱其实能省很多事情,不过现在越来越少了。”
另外,蔚来注册用户数ઠ据、订单及退单数据,可以用来分析蔚来潜在车主Β情况,总结退单原因,如果被竞争对手掌握将会比较被动。
勒索者提到,以上数据只º是部分,因为ઝ数据较多,还有一些子业务数据没有列出,全部૯数据打包价1个比特币。
这个事情的性质是比较恶劣的。虽ણ然个人数据泄露不是新鲜事,但新能源汽车行业的数据泄露却是一个新课题。造车新势力们一直标榜智能化,将数据视为核心Α资产之一,结果连基本的数据安全保护都做不到,不得不让人忧心。
蔚来很重视。先是蔚来信息安全负责人代ਮ表蔚来出来Õ发通告,然后李斌专门出来Ù道歉,第二天蔚来又在港交所发布通告。由此可见一斑。
数据泄露će;后,车主最Ζ关心的问题是,ਰ自己会受到什么影响?
除了可能会被黑灰产盯上,这些数据઼Ċc;还能被拿来干啥?比如,会不会车子直接被远程开走了?又或者,有一天◘突然刹车踩不动?
大家的担心不是空穴来风。因为既然数据能被泄露,那说明蔚来的数据保护是存在漏洞的。有漏洞就有被入侵的风险。
早在五年前就发生过黑客偷车的事件。当时偷车贼盯上了斯巴Á鲁汽车的数字钥匙系统,制作了一个能ઝ收集无线电信号的简单设备,计算出下一个滚动代码,然后将类似的无线电信号发送回Η目标汽车,就把斯巴鲁汽车的遥控钥匙系统给破解了。
破解之后能干嘛呢?简单说就是,√数字钥匙能干的事,它Āe;都能干。比如解锁车门、鸣笛、获取车辆位置记录信息等。而攻破漏洞的这套装ⓢ置,成本不到30美元。
当然Λ,这五年里车企的技术取得了很大进步,很多漏洞被补上了。但这就像一场猫鼠游戏,总有人能发现d0;新的漏洞。
即便强如特斯拉,也避免不了被“黑”。“红衣教主”周鸿祎说,3ⓦ60就曾三次破解特斯拉云端的系统。2020年,µ特斯拉Model X的自动驾驶系统多次被黑客入侵。2021年,特斯拉因车内摄像头记录车内大部分空间信息陷入“隐私门”,其中的监控录像就是一名黑客入侵特斯拉汽车后曝‾出来的。
理论上,只要联网了,任何一家车企的系统都有被破Í解的可能。这其中的关键¸在于,黑³客有没有必要去干这个事,要考虑时间、成本、技术问题。
ⓜ
蔚来被盯上,一方面因为蔚来树大招风,虽然现在理想和小鹏发展也很快,但若要论资排辈,以及比影响力,那还是得蔚来。尤其是在欧美市场,Ì大家就认蔚来。另外,蔚来的品牌比较高端,车价对标BBA,车主大部分是中产或所谓的有钱人,这些人的信þ息更值钱。用一位业内人士对深途的说法:“更好卖。”
不要小瞧了一些看似无关紧要的个人ℜ信息,这些信息对♦一些黑灰产来说,简直是富矿。
我们举一个例子。高德地图之前做过一ö个报告,仅统计了⊕不同品牌汽车车主的行程轨迹,就得出了如下结论:奔驰用户比较有钱,因为住别墅的比例较高;宝马用户喜欢购物,因为经常去步行街或购物中心જ;沃尔沃用户爱好文艺,因为总是去剧场和名胜古迹;奥迪用户多为体制内人员,因为他们的行踪总是出现在政府机关。
§
搞清楚了这些人的用户画ⓡ像∝,就可以打电话给他们做精准营销。电话推销员肯定会向奔驰车主推荐别墅,而不会冒充亲人找奥迪车主要钱,尤其是那些常用地址是派出所的奥迪车主。
那么¥,如果你是一个蔚来车主,而ν且恰好还是在2021ડ年8月之前提的车,你现在是不是有点慌?
先别慌。蔚来说事情还没完全搞清楚,还在进一步调查数据泄露的原 因和影响范围。蔚来信息安全负责人在李斌道歉后特意补充了一句:本次事件不涉及车辆使用中产生的数据(如行车轨迹≅、座ਪ舱数据),也不影响车辆的驾乘或远程控制。
不说具体泄露了啥,只说没泄露啥,那说明没泄露的这部分是关键数据。以蔚来的说法来看,对车主的影响应该还是有限的∝。以上提到的破解车辆、掌握你的行踪,应该不会发生。
一位蔚来车主就很淡定,他对深途说Â:“泄露的这些数据,其实在中国商业环境下很多途径也能拿到,只是把它们组合在了È蔚来车Χ主的场景下。”
还有一个∠非常关键的问题:蔚来的数据是如何泄—露的?谁窃取了这些数据↑?
通常情况下有两种可能,一是黑客攻击ਜ਼,二是有Τ内鬼。
目∞前已知的信息中,有人在公开卖蔚来泄露的数据,但无法判断这份数据经过了几道手。因为交易数据的人和窃取数据的人,›憨有可能不是同一人。从勒索者的表述来看,黑客攻击破解的可能性更大一些。
ી
北京至普律师事务所合伙人李圣对深途说,窃取或者以其▣他方法非法获取公民个人信息的,构成侵犯公民个人信息罪,判刑三年以下或拘役,情节特别严重的判刑三到七年,还会有罚金。另外,获得数据的人向蔚来索će;要赎金,还构成了敲诈勒索罪。
勒索者既然敢公然æⓙ兜售数据,肯定是熟知这其中利害的,所以મ在要钱时,指明只接收比特币,因为比特币不好追踪。
那么有♫没∩有可能是蔚来内部员工泄密呢?目前不能完全排除这种´可能性。
ਨ
互联网行业历史上发生的数ઍ据泄露事件,有不少就是出ત了内鬼,甚至里应外合打配合。
李圣律师说,如果违反国家有关规定,将在履行职责或者提供服务´过程中获得的જ公民个人信息,出售或者提供给他人的,按照侵犯▒公民个人信息罪从重处罚。
内部Î泄密的情况发生,往ਨ往是因为公ⓟ司内部的信息安全保护机制出了问题。
新能源汽车的数据存在હ向供应商、合作伙伴、集团其他业务等第三方共享、转让、委托处理数据的情况。比如自动驾驶,很多车企会跟第三方自动驾驶公司合作,就会涉及到数据的θ共享问题。大量敏感数据在多部门、组织之间频繁交换和共享,扩大了数据暴露面。如果公司内部没有完善的制度,数据泄露的风险是很大π的。
车企掌握了大量用户ø数据,因此更有责任做好风险防范。有自称从事信息安全的õ人给李斌留言说,信息安全和工作效率天生就是相悖的,此次蔚来数据泄露事件,不能只归罪于外,内因是根∝本,必须有内部问责机制。
蔚来公司的信息系统安全防护ੋ能力如何?这个很难评估。但有这样一件小事,或许能部分说ધ明问∠题。
今年4月,蔚来在公司内部发布了一项处理通报,公司某集群服务器的ૌ管理员张某,利用职务便利,偷偷用公司服务器算力资源进行以太坊挖Ι矿,时间长达一年之久。直到被人投诉至公司风险管理部门,蔚来才发现这事。在调查ø中,张某对自己的违规行为供认不讳。
不论是黑客还是内鬼,能 钻漏洞的前提,是要有漏Ąe;洞可钻。
当然,在蔚来数据泄露这件事▦里,蔚来也是受害方。不仅数据丢了,品牌受损‰,还可能要对车主进⌉行赔偿。
李圣对深途介绍,如果信息泄露的车主因此产生了损失,蔚来不能证明自己没有过错,应当承担损害赔偿等侵权责任。具体的损害赔偿责任按照个人因此受到的损失或者个人∗信息处理者因此获得的利益确定。损失或利益难以确定的,根据实际情况确定赔偿◑数额。
在十天ⓥ前收到勒索者的邮件时,蔚来有两种选择,一是交钱私à了,二是不予理会。蔚来选择了后者,而૯且态度强硬。
这十天里蔚来没有公开此事,‡去年8月前提车的蔚来车主们,也不知道自己的信息已经被泄露了。直到有人把这些数据拿到网上去卖,蔚来才公开承认。
非法窃取数据、敲诈勒索的行为是必须坚决予以打击的,但掌握着大量用户数据的车企们,也应该承担起保护数据安◊全的责任,这是企业的本分。希望车企不要再让车主无故ˆ“裸奔”。
本文为专栏作者授权创业邦发表,版权归原作者所有。文章系作者个ë人观点,不代表创业邦立场Â,转载请联ਫ਼系原作者。如有任何疑问,请联系editor@cyzone.cn。
“掌”握科技鲜闻χ (ⓖ微信搜索teächsina或扫描左侧二维码关注)
Η
新浪科技☎
新浪科技为你Å带来最新鲜Āf;的科技资讯
θ
苹果汇ⓡ
苹果汇á为你带来最新鲜ä的苹果产品新闻
新Ã浪众²测ⓣ
新ભ酷◘产品第一时间免费જ试玩
新浪探࠷索ભੌ
提供એ↔最新的科学家新∋闻,精彩的震撼图片
新浪õ科技′意见反馈留言£板
All R੫ights Resćd;erved 新浪公司 版权所有