近日,蔚来被曝出其用户相关数据在网上被不法人士售卖,引发关注。针对此事,蔚来方面数度公开致歉称,会对此次事件给用户带来的损失承担责任,本次事件不涉及车辆使用中产生的数据,也不影响车辆的驾乘或远程控制。这一致歉仍引发多位蔚来车主质疑。
(资料图片)
12月21日,有信息安全领域资深从业者告诉南都记者,由制造业起家的车企整体上的信息化水平、信息安全保障水平仍处在初级阶段,此次事件或引发相关政府部门进一步加强对汽车行业数据安全的监管。“蔚来没有选择定向通知受影响的用户,有可能是担心通知后会引发更多的质疑与客诉。用户可以提出追责,但出于多种原因,如信息不对称、难以举证自己的数据被泄露、当前的司法救济机制薄弱等,用户很难获得实质性赔偿。”
蔚来发生用户数据大规模泄露事件
12月20日下午,数张蔚来数据被破解及出售的图片在网络流传。网传图片显示,被破解的数据包括蔚来内部员工数据22.8万条,从总裁到一线员工均有;车主用户身份证数据399万条、用户地址数据65万条等信息,勒索要价从0.1-0.25比特币不等。
对此,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
卢龙透露,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。蔚来还在进一步调查数据泄露的原因和影响范围。
随后,蔚来工作人员向南都记者表示,目前正对公司的网络信息安全进行排查与强化,具体有哪些用户受影响暂不可知,相关信息仍在排查中,当前已知的是2021年8月之前的部分用户基本信息和车辆销售信息被窃取。在用户基本信息中,可能会包括身份证号、真实姓名、家庭住址等信息。
当天晚间,李斌在评论区回应道,“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”
南都记者注意到,李斌发布致歉评论后,仍有多位蔚来车主不买账。有车主质疑道,具体泄露的数据有哪些、有何补救措施、车主如何举证自己的损失、需要车主防范和注意什么,此次信息泄露事件是因内部人员非法窃取还是安全网络被攻破等,蔚来方面都需要作出进一步解释。
12月21日早间,蔚来在港交所发布公告称,其承诺对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意,并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。蔚来再次重申其对保护用户数据安全及隐私的承诺。
专家称遭信息泄露用户很难获得实质性赔偿
关于智能汽车的数据安全问题,此前已引发诸多讨论,此次蔚来泄露数据事件算得上是汽车行业内较大规模的一次数据泄露。有信息安全领域资深从业者告诉南都记者,“这无疑会对汽车行业产生较大震动”,或引发相关政府部门进一步加强对汽车行业数据安全的监管。目前,相较于信息安全保障水平较高的金融行业,由制造业起家的车企整体上的信息化水平、信息安全保障水平仍处在初级阶段,近年来伴随车联网的快速发展,车企才逐渐加大了对信息安全的重视。
根据蔚来发布的公告内容,此次泄露的数据为部分用户基本信息和车辆销售信息,未涉及车辆使用过程中收集、产生的数据,这部分泄露的数据通常不会对车辆驾乘或远程控制产生影响。
该信息安全从业者表示,个人基本资料、车辆销售数据和车辆使用产生的数据,安全级别的差异不能一概而论。前者与个人身份及隐私联系密切,后者与行车安全和人身安全关系更密切;前者主要是采集后就存储于云端(服务端),后者通常采集后直接存储于车辆端,而后也可能传到云端,其数据控制权要求更高。
谈及数据泄露的可能原因,该名从业者认为,可能是内部员工安全意识缺乏,如被“钓鱼”邮件攻击导致泄露了能访问相关数据的内部系统账号密码,也可能是企业网络系统存在安全漏洞被黑客利用,或是内部数据安全管理不善导致泄露。理论上,一旦企业遭受攻击,黑客完全有可能触及到车企关于车辆的数据。
“从目前公开信息来看,蔚来是收到了黑客的勒索邮件,为了‘止损’,也为了履行《网络安全法》《数据安全法》等相关法规关于安全事件发生后的相关告知义务,蔚来第一时间发布了事件公告。一定程度上讲,此举也有助于企业减轻自身责任。业内不少公司遇到这种情况会选择低调处理,花钱消灾,息事宁人。”该名从业者说道。
即便蔚来方面多次公开宣称会对信息泄露一事负责,但其客服人员告诉南都记者,数据泄露的原因及影响范围仍在排查中,目前暂时不会主动告知某位车主其数据遭到泄露,或发起主动赔偿。当南都记者进一步追问车主需如何举证自己的损失时,该客服人员未予正面回复,仅称蔚来方面会对用户损失负责,用户可以在专属群或向官方工作人员反馈。
上述从业者还提到,“发了事件公告,也算车企主动告知用户的一种方式。按道理说,车企还应该通过电话、邮件等方式告知受影响的客户。蔚来没有及时定向通知受影响的用户,除了‘事件原因及范围尚在排查中’这一原因外,还有可能是担心定向通知后会引发更多的质询与客诉。用户可以提出追责,但因各种原因,如信息不对称、难以举证自己的数据遭泄露、当前国内数据保护相关法律体系不够健全、司法救济机制薄弱等,用户很难获得实质性赔偿。”
采写:南都记者 方诗琪
