蔚来汽车数据遭泄露,或将涉及10万车主,你怎么看?
蔚来汽车的创始人、董事长、CEO李斌又一次在社交媒体上发声了。这一次他是道歉。
原因是蔚来汽车部分用户数据遭到窃取。前段时间,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。
为此,蔚来汽车发文《关于数据安全事件的声明》进行了回应。
蔚来汽车在收到勒索邮件后,在当天即成立专项小组展开调查,并在第一时间将事情报告给有关监管部门。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
蔚来将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。蔚来汽车还对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。
蔚来汽车创始人、董事长、首席执行官李斌公开发文称,对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。
泄露了哪些数据
根据蔚来所述,泄露数据包含“用户基本信息”。我们在蔚来App可以看到,在用户“个人信息”和“账号绑定”这两栏,目前包括用车城市、地址、手机号等信息。如果是办理了购车手续的蔚来车主,在“我的证件”这一栏,用户如有添加,则可能会包含身份证、护照、薪资、社保、公积金、房产证、行驶证、驾驶证、购车额度证明、购车指标等更为隐私的个人信息。
网上流传的一张图片显示,泄露数据包含了蔚来内部员工数据228000条,从总裁到一线员工,无一幸免;车主信息泄露的更是多如牛毛,用户身份证数据3990000条,用户地址数据650000等信息。
目前具体涉及多少位用户,蔚来官方并没有公布。
经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。自开启交付至2021年7月,蔚来汽车共计交付12.55万辆汽车。
简单估算,蔚来汽车此次泄露数据或将涉及10万多位车主。
目前来看,用户更应该关注的是数据泄露到了何种程度?是否已经止损?会造成什么影响?如何赔偿?以及如何防止类似事件再次发生等问题。
会影响车辆安全吗?
蔚来汽车此次的用户信息泄露也给消费者造成了极大的恐慌。相较于传统燃油车,电动智能汽车的数字化应用场景更加广泛。这些场景服务往往基于对车主个人信息、车辆位置,出行轨迹、速度和方向等数据的大量授权、采集与分析。如果这些敏感数据被恶意用户获取或篡改,可能会导致严重的安全风险。
一般来说,用户信息泄露并不会直接对车辆安全造成影响。但是,如果泄露的信息包括车辆的相关信息(例如车辆验证信息、车辆编号等),则可能会对车辆的使用造成影响。比如车辆编号和车主信息泄露后,车主身份有可能被伪造,登录车辆的远程控制系统,这个隐患可就太大了。
蔚来首席信息安全科学家、信息安全委员会负责人卢龙说:本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
卢龙说的是本次事件不影响车辆驾乘和远程控制,谁又能保证下次事件呢?
因此,蔚来汽车公司应采取更全面的安全措施,包括应制定相应的信息安全管理制度,明确责任和流程;应对员工进行信息安全培训,提高员工的信息安全意识;
建立信息安全监测机制,定期对系统进行安全扫描和漏洞修复;公司应建立信息安全应急预案,并在信息安全事件发生时迅速采取应对措施。
放下架子承诺担责
“对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任”。李斌在这次事件的承诺很有担当,并不像之前的“口出狂言”引发热议。
但是李斌的这种承诺或许将成为一句空话。因为用户的信息泄露,造成的损失很难确定。比如,现在常见的电信网络诈骗,就很难找到泄露的来源,也就是说如果蔚来的用户因为电信诈骗受到了损失,怎么能证明是这次泄露导致的呢?
既然损失无法确定,蔚来又该如何承担责任呢?
所以,这只是李斌的态度而不是行动。
尽管信息遭到泄露,可是车主可以向蔚来行使知情权,比如确认自己是否在泄露名单中,关于自己的数据都泄露了哪些?尽量做到心中有数。
关于汽车数据,2021年10月1日正式实施的《汽车数据安全管理若干规定(试行)》有这样的表述,利用互联网等信息网络开展汽车数据处理活动,应当加强汽车数据保护,依法履行数据安全义务。汽车数据处理者(比如车企)在处理汽车数据时应该坚持:默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;脱敏处理原则,尽可能进行匿名化、去标识化等处理。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。
也就是说,如果蔚来车主能够提出证据来证明自己确实因为这次的数据泄露造成了损失,蔚来汽车就应该承担责任,包括赔偿。
用户数据泄露不是个例
据公开报道显示,车企数据泄露以前就发生过。2022年10月,丰田汽车称,从2017年12月到2022年9月15日,开发T-Connect 网站的承包商不小心上传了部分带有公共配置的源码。这个乌龙事件导致大约29万名客户的个人信息或被泄露,包括电子邮箱地址和客户编号等,不包括姓名、电话号码和信用卡信息,算是不幸中的万幸。
2021年6月,据外媒报道因一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,数据中包含了客户的姓名、地址、电话号码、甚至贷款信息等。该供应商服务的客户包括大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商。据了解,此次数据泄露影响到的客户大致在330万名。
百姓评车
电动车作为未来新兴的智能终端,在发展过程中会产生大量的数据。这些数据不仅涉及车主乘客的隐私,还可能涉及国家安全问题。一旦受到网络攻击而泄露,可能会对个人利益、国家利益造成严重的后果。
车企不应该只考虑这些数据的商业价值,更需要考虑在安全可控的范围内,如何保证数据安全性。