蔚来汽车数据泄露成谜,车主数据安全谁负责?
蔚来汽车(HK:09866)遭遇用户数据泄露引发关注。
华夏能源网获悉,12月20日,蔚来汽车发布相关声明称,2022年12月11日,蔚来汽车收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。
对此,蔚来表示:公司当天即成立专项小组进行调查与应对,并*一时间向有关监管部门报告了此事件。蔚来创始人、董事长李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。
区别于燃油车,智能汽车搭载了大量的传感器、摄像头、智能导航系统、语音交互系统,无不存在着用户数据泄露的隐患。蔚来事件一出,在车企中敲响了警钟,用户数据安全问题当尽快引起重视。
蔚来汽车数据泄露
蔚来称,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。目前已被*三方违法出售。
据了解,黑客组织盗取了约2.28万条内部员工数据、39.9万条车主ID数据、65万条用户地址数据以及485万条蔚来注册用户数据。非法出售的数据与勒索相同,以比特币作为支付形式。售价为员工数据0.15比特币、车主ID数据0.25比特币。
华夏能源网注意到,20号晚上,还有一张疑似黑客售卖从蔚来处窃取数据的截图在社交平台传播。黑客声称“给了蔚来两次机会,但蔚来不愿买断这部分数据保护车主和用户,因此决定有偿曝光。”
从销量来看,蔚来汽车2018年到2020年全年交付量分别达11348台、20565台、43728台,2021年1-7月累计交付49887台。这些交付数据*有可能就在被泄露的数据里。
蔚来发布公告称,在收到勒索邮件后,蔚来汽车当天即成立专项小组进行调查与应对,并*一时间向有关监管部门报告此事件。
蔚来表示,公司已在中国就该事件发布公开声明,其中提供了解答用户有关数据泄露事件的专门热线及邮件地址。同时,蔚来承诺对其因数据泄露事件给用户造成的损失承担责任。事件发生后,蔚来汽车对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。
蔚来还在公告中补充道:会采取一切可能方式支持其用户。公司持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。公司在此重申其对保护用户数据安全及隐私的承诺,同时对此次事件深表歉意。
此外,数据公布泄露当晚,蔚来创始人、董事长李斌在蔚来官方社区发文致歉。李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
蔚来首席信息安全科学家、信息安全委员会负责人卢龙则对此次泄露事件的具体安全危害作出补充说明。卢龙表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。
谁来保障用户数据安全?
华夏能源网注意到,遇到相同问题的车企并非只有蔚来汽车。
去年6月,大众汽车方面曾表示,有将近330万名客户或潜在买家的数据遭泄露,具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
今年5月,通用汽车也曾发布声明称,2022年4月11日-29日期间,部分在线客户账户出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。
此外,今年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。
近年来,随着智能网联技术取得快速发展,关于新能源汽车安全的话题越来越受到关注。
有数据显示,过去5年间,黑客对智能汽车攻击的次数增长了20倍,其中近30%的攻击涉及车辆控制。而目前,大部分的车型在信息安全防护水平方面偏低,车内相关联网部件及控制部件防护可靠性不高,且缺失一定的安全策略,这会导致车内敏感信息泄露或被篡改,以及车辆行驶中的异常行为,还有可能危及人的生命安全。
在2022世界新能源汽车大会上,中国工程院院士李克强表示:今年上半年针对车联网平台的网络恶意行为已经超过100万次,汽车信息安全威胁问题日益严重。
那么,到底谁来保障用户数据安全?
从车企来看,已经有些车企在研究保护措施。此前,长城汽车建立数据安全管理机制,明确不同场景的数据保护方案及措施等,理想汽车强化准入机制和统一账号身份管理;奇瑞汽车制定数据管理规定和数据治理的标准体系等。威马汽车CEO沈晖表示,在法律法规的大框架下,明白用户需要怎样的“电子围栏”,才能保护用户隐私、保障数据安全。
从政策层面来看,国家对智能汽车的安全问题已经有相应的立法规划。相关部门陆续出台了《汽车数据安全管理若干规定(试行)》、《关于加强智能网联汽车生产企业及产品准入管理的意见》、《信息安全技术网联汽车采集数据的安全要求》等法规,旨在加强在车辆数据安全、网络安全、功能安全和预期功能等方面的管理。
其中,今年3月,工信部在《车联网网络安全和数据安全标准体系建设指南》中明确提出,到2023年底,将初步构建起车联网网络安全和数据安全标准体系,完成50项以上急需标准的研制。到2025年,将形成较为完善的车联网网络安全和数据安全标准体系。
正如中国汽车流通协会专家委员表示的一样,随着智能汽车的不断普及,数据安全正成为影响消费者购车决策的重要因素,在数据安全和个人隐私保护方面做得更好的车企,或许能在未来的竞争中赢得优势。
未来,车企们在数据安全方面的“警报”必须随时拉响。(文章来源:华夏能源网)
大型企业体系庞大,拥有众多下属机构,内部管理制度完善,业务模式复杂,需要集中分级式加密管理系统。
大型企业安全现状分析
大型企业分支机构分布在国内外各个地区,需要实行统一制管理。企业内部的组织结构庞大,部门众多,网络应用环境较为复杂。为了便于管理,大型企业都相继采用了 OA、CRM、ERP 等业务管理系统来支撑企业业务的运转,同时设置了安全防护措施。随着大型企业的内部业务分工的不断细化,越来越多的大 型企业开始与上下游企业开展合作交流等工作,用以提升自身的竞争力。在这个过程中,企业需要经常性地与合作伙伴共享和传递大量的机密数据。这些数据在外发给合作伙伴后,企业便对其失去了控制,大大提高这些机密数据多次扩散及泄密的安全管理风险。
我们的解决方案给您带来的帮助
凤凰卫士加密系统大型企业解决方案根据大型企业组织结构庞大、部门众多这一特点制定了更为灵活和细分的文档应用权限管理,它可以根据企业实际需要灵活配置每个员工的具体使用权限,确保机密数据只有经过创建者本人授权后才可以被其他工作人员使用。例如:同一份重要的Office文档或是一张CAD图 纸,对企业内部高层管理者可以设定完全控制权限,对部门经理设定可编辑但不能打印的权限,而对于一些基层的企业人员只设定只读权限。这样部署有效确保 企业内部的每位人员只能接触到自己授权范围内的信息,有效防止了机密信息的外泄。此外,国家监管部门对于大型企业中的财务系统提出了严格的审计要求, 用以对财务部门的财务报表和成本核算进行合规性审查。
凤凰卫士加密系统解决方案可以根据财务部门的特殊需求制定更为灵活和细分的文档应用权限管理,确保包含重要财务数据和成本核算的文档只有经过作者本人授权后,接收者和使用者才能按照具体的设置应用。凤凰卫士加密系统大型企业解决方案对于财务部门的年度审计起到了重要的提升作用。 凤凰卫士加密系统大型企业解决方案为了防止因人员由于误操作或自然原因导致的数据破坏,提供了强大的安全备份功能。当企业机密数据发生损坏 时,企业用户可以在*一时间进行恢复,保证了企业的业务连续性,简化了IT部门的工作流程,为企业安全性提供了强有力的保证。
为了与上下游企业更好地开展合作交流,各大型企业还需要经常与其合作厂商进行技术文档、商务合作方案的流转。这样一来,合作伙伴将有可能**和多版本的保留这些重要文档,从而增加了文档被多次扩散的安全管理风险。对此,凤凰卫士加密系统大型企业解决方案提供了先进的安全协同管理模式,有效确保外发文件和图纸只能在合作伙伴指定的计算机终端上,在指定的时间段进行指定的操作,全面降低了机密文件二次扩散的风险,保护了企业的核心利益和竞争优势,提升了外发文档的安全性和可控性。
同时,大型企业在全国各地设立了多个分支机构。在实现具体的业务过 程中,总公司与各分支机构需要实时地进行信息传输和资源共享。正因为如此, 跨网段、跨区域远程办公的企业运营模式在大型企业中得到了广泛地应用。凤凰 卫士加密系统大型企业解决方案中的 Web模块能够实现企业总部的加密管理策略,这些策略可以在各个分支基地实现快速的执行,进行异地管理同步。通过Web模块的应用,可实现全局性的管理目标。对于大型企业上述情况,工作人员 需要出差的机会也非常频繁,凤凰卫士加密系统大型企业解决方案特此设立了离线策略功能。当员工带笔记本去公司分部出差,即使处于脱离凤凰卫士加密系统状态,员工所创建、编辑的任何数据都会以加密的形式存在。如果拷贝到非授权的环境里则无法打开查看,所有人员的文档操作过程都将会被详细的记录保 存,帮助企业实现高效的集中式审计管理。