蔚來泄密,驚醒買車人_風聞
一号财经-看得见的商业世界2022-12-31 17:12
一號説:“電動爹”,將無所不知?
發生在2022 NIO Day 數日前的用户信息泄露事件,像一個蒙面刺客在暗影中刺出一劍,直指蔚來汽車(9866.HK)最敏感而薄弱的部分。
智能化的未來如果是以數據安全為代價,蔚來車主還願意承受嗎?
當你買了一輛新能源汽車後,你的身份證、用户地址,甚至親密關係、貸款數據都被壞人竊取,並且拿到網上販賣?
蔚來的12萬車主,都有可能面臨着這樣的風險。
日前,蔚來汽車就用户數據遭竊取發表致歉聲明,證實了此前用户數據泄露的傳聞。聲明顯示,遭竊取數據為2021年8月之前的部分用户基本信息和車輛銷售信息。
成為了國際上的“一種商業模式”。
12月25日,蔚來董事長李斌表示,2023年,銷量目標是超過雷克薩斯燃油車銷量,即銷量將達到19萬-23萬輛。
那麼,這20萬左右的車主,會不會再次面臨個人信息泄密呢?
2023年將進入智能化的下半場,涉及到的用户數據將會更多。甚至於,新能源汽車之所以能夠實現智能化,源自於用户讓渡了大量的個人數據。
一直以來,車主的數據都被新能源車企視為其重要的財富。那麼,車企,乃至行業該如何確保車主的數據不會泄露?
或涉12萬蔚來車主
12月25日,在蔚來媒體交流會上,蔚來創始人李斌再次談及數據泄露事件時表示,蔚來“堅決不妥協”。而此前12月20日,蔚來已就用户數據遭竊取發表致歉聲明。
據這張圖片,所售數據包括蔚來員工數據、訂單數據、車主身份證、用户地址,另外,車主親密關係、貸款數據等信息也可以出售。
這些信息不僅涉及蔚來公司的機密,也涉及蔚來車主的隱私。
當時,這些敏感的隱私信息,已被一一明碼標價。如2.28萬條員工數據,標價0.15比特幣,3.99萬條車主用户身份證數據,標價0.25比特幣;而全部數據打包出售,價格僅僅為:
1比特幣
那麼,哪些蔚來車主信息可能已被竊取呢?
公開資料顯示,在2021年的8月之前,即2021年1-7月,蔚來累計交付了49887台汽車;
2020年全年,交付量達43728台;
2019年全年,交付量達20565台;
2018年全年,交付量達11348台,共計125528台。
即,此次用户數據泄密,或涉及12萬左右蔚來車主。
據財聯社,針對廣大可能信息已經泄露了的蔚來車主,蔚來客服表示,如近期遇到涉及蔚來的陌生來電,需小心謹慎。
蔚來也因此次數據泄密,遭到勒索。
12月11日,蔚來收到外部郵件,顯示遭到勒索金額為225萬美元等額比特幣。蔚來並沒有透露是否交了勒索金,但表示,收到勒索郵件後,當天即成立專項小組進行調查與應對,並第一時間向有關部門報告。
在數據安全領域有一定影響力的360公司的董事長周鴻禕近期表示,目前,此類勒索組織已大行其道。
一些重要單位遭到勒索之後,國內的勒索金額大概平均在500萬人民幣到1000萬人民幣,國外的勒索金額是在500萬美金到1000萬美金。周鴻禕表示:“它已經變成了一種商業模式”。
360車聯網安全首席科學家明亮也指出,現在網絡空間面對的不再是“小蟊賊”,而是“大玩家”,有“高級持續性威脅、勒索軟件攻擊”特徵。
針對用户數據泄露一事,蔚來汽車客服人員表示,不會對廣大車主做出主動賠償,但“對因本次事件給用户造成的損失承擔責任”。
目前已有不少自媒體質疑,車主、用户該如何向蔚來證明遭遇了損失?尋求蔚來賠償的程序會不會很複雜?
12月25日,蔚來董事長李斌表示,2023年,銷量目標是超過雷克薩斯燃油車銷量,即銷量將達到19萬-23萬輛。這20萬左右的車主,會不會再次面臨個人信息的泄密呢?
智能汽車更易信息泄露
明亮表示,近三年,汽車網絡攻擊事件快速增加。其實,不止蔚來,國內的很多車企都遭受國數據泄露和勒索。
2021年6月,大眾汽車曾表示,有將近330萬名客户或潛在買家的數據遭泄露。具體信息包括姓名、地址、手機號碼、郵件以及部分駕照號碼、車牌號碼、貸款號碼等。
2021年12月,沃爾沃汽車運營的研發數據遭黑客入侵。當時,沃爾沃稱,公司有限數量的研發財產被盜,並稱 “可能對公司的運營產生影響”。
2022年5月,通用汽車發佈聲明稱,2022年4月11日-29日期間,部分在線客户賬户出現了可疑登錄,導致在未經用户授權的情況下,客户的獎勵積分被兑換成了禮品卡。
2022年10月,豐田汽車在一份聲明中表示,使用T-connect服務的約29.6萬名客户的個人信息可能已被泄露。而且,此前的2022年2月,豐田汽車就遭到網絡攻擊,導致其日本工廠全面停產。
另外,車企有關車主、用户信息被竊取後,一般都會面臨鉅額勒索。2021年2月,起亞汽車遭到勒索軟件攻擊,贖金達2億元。
蓋世汽車研究院的報告顯示,幾乎所有主流車企,都遭受過網絡安全影響,數據安全是重點。
其一、智能汽車之所以能夠實現“智能化”,源於用户讓渡了大量個人數據。這些數據不僅包括車輛的基本信息,還包括車輛的位置,乃至車內空間的視頻和音頻等。
其二、汽車智能化是“軟件決定汽車”,其中的軟件代碼十分多,如高階自動駕駛汽車的軟件代碼量將達到3億-5億行,而業內的“規律”是,每百萬行代碼缺陷或漏洞數量在600個左右,這意味着,代碼眾多的智能汽車容易被攻擊的漏洞十分多。
其三、車聯網中,智能汽車受外界的網絡攻擊入口也將增多。這些攻擊的入口包括無鑰匙進入、車內網絡、USB卡槽、OBD和傳感器等近場攻擊,也包括通過wifi、4G/5G網絡等中程攻擊,還包括主機廠、運營商等雲端遠程攻擊。
縱觀過去10年,汽車網絡安全事件頻發,據Upstream Security統計,截止目前,汽車網絡安全攻擊事件已接近千起。
在近千起事件中,數據/隱私泄露佔比最高,為39.9%。另外,汽車被盜/侵入佔比27.9%、控制車輛系統佔比24.2%,服務中斷佔比18.2%。
你還買智能汽車嗎?
智能汽車的數據安全方面,不僅包括個人信息易泄露之外,還涉及到行車等其他方面的安全。
你買了一台智能汽車,看似這台汽車歸你所有,但是,黑客只需一台筆記本電腦,就可能解鎖或啓動你的汽車,能夠做到遠程按喇叭,甚至在行車途中突然遠程剎車。
這是福布斯雜誌12月21日引用網絡安全研究人員警告時的報道,當時,網絡人員主要針對的是本田和日產車主。
目前的車聯網,使得網絡黑客很容易找到漏洞,攻入車輛內部,繼而控制車輛行駛,給行車安全帶來危險。
另外,智能汽車上大量的視覺、激光雷達、毫米波雷達等傳感器在行駛過程中,會不斷掃描路面和周圍交通環境,獲取大量地理信息,這就涉及更高層次的安全問題了。
據傳,不少國內公職人員以及在特殊部門工作人員,是不允許購買特斯拉智能汽車的。即使購買了,也不能隨便開到他們單位內,這就是基於安全考慮。
有時候,智能汽車個人信息容易泄露的特點,也能起到正面的作用。
美國移民和邊境管理人員2022年關注重點,就是汽車黑客工具。通過黑客手段,可以從汽車上收集潛在證據,這比從智能手機上獲得的更多,這大大增加他們管理工作的便利性。
從如今數據安全保護的嚴峻性方面來看,智能汽車主機廠、行業管理部門,都要快速行動起來。
首先,主機廠要強化數據安全管理,在數據的採集、傳輸、存儲、使用等過程中,要從從技術上保證這些數據的安全;另外,主機廠不能僅僅將這些數據僅僅視為自身的“富礦”,而是要重視這些數據的保護,在使用中要合理合法合規。
其次,作為智能汽車行業,也要迅速建立起安全監測機制,把政、產、學、研連接起來,共同構建數據安全監測能力,確保數據泄露隱患在萌芽狀態時就被預警。這不僅利於行業發展,對主機廠也很有必要,能確保主機廠在車輛發生風險時能及時知曉。
總之,智能化是汽車產業發展的重要趨勢,而數據是實現智能化的基石。保護數據安全,不能阻礙技術創新。要平衡好技術創新與數據安全的關係,確保技術不斷創新,最終用技術的手段解決好智能汽車的數據泄露問題。