12月20日,蔚来在官方APP发布声明,称部分用户数据遭窃。
根据蔚来官方声明,今年12月11日,蔚来收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。
而被窃取数据则为2021年8月之前的部分用户基本信息和车辆销售信息。
同时根据近日网络流传信息显示,蔚来此次泄露数据范围包括蔚来内部员工数据2.28万条、车主用户身份证数据39.9万条,用户地址数据65万条等等信息。
而实现交付到去年7月,蔚来共计交付约12万辆汽车,截止到今年11月,蔚来累计交付量为27.37万辆,截止到,去年10月底,蔚来APP内用户总注册量超200万。
结合此次网络流传被窃取的车主身份数据、用户注册数据等信息量来看,此次蔚来数据遭窃堪称涉及范围非常广。
在昨日蔚来发布官方通告之后,蔚来首席信息安全科学家、信息安全委员会负责人卢龙以及蔚来创始人李斌,随后也在蔚来APP官方社区内对此事进行了进一步回应。
根据蔚来首席信息安全科学家、信息安全委员会负责人卢龙随后的回应可知,此次蔚来数据遭窃并不涉及车辆行驶轨迹、座舱数据,不影响车辆驾乘及远程控制。
但相应的,根据蔚来App社区内不少用户反馈,蔚来所掌握的其他车主信息也是非常齐全的,包括身份数据、车辆信息、联系方式、银行卡等等内容,此次数据遭窃对于蔚来车主来说无疑将造成不小的麻烦。
智能电动汽车发展到今天,数据安全已然不容忽视。
对于智能电动汽车的用户来说,尤其是当下更多维的交互方式,使得自身有大量的隐私数据得以给到厂家留存,一旦泄漏难免会产生一些隐患。
但同时,即便对于传统汽车用户而言,在与厂家交易的过程中也会有包括住址、银行账号等信息留存,一旦泄漏也是一件相当麻烦的事情。
因为此次蔚来数据遭窃在汽车行业也不是第一次发生。
在此之前,丰田、起亚、雷诺日产以及特斯拉等汽车厂家均遭受过不同程度的网络数据入侵或数据泄漏。
比如今年10月,丰田发布声明称,其使用的T-connect服务的296019名客户的个人信息可能已被泄露,包括电子邮箱地址、客户管理号码等,但其他敏感信息诸如姓名、信用卡信息等未泄漏。
泄漏的原因是其使用的T-Connect 网站开发外包公司违反处理规则,错误地将部分源代码上传到其他平台,使得未经授权的第三方可以在2017年12月至2022年9月15日期间访问296,019名丰田客户的详细信息,这一泄漏事件直到今年9月才发现。
而同样的在去年6月, 大众也曾发布声明表示,有将近330万名客户或潜在买家的数据遭泄露。
其涉及的具体信息则包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等,泄漏内容更为严重。
而泄漏的原因也是因为其供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。
但相比起单纯的数据泄漏,汽车厂商遭受黑客网络入侵则更为严重。
比如就在今年1月,德国一名19岁黑客曾声称发现特斯拉系统中漏洞,并成功“入侵”全球13个国家超25辆特斯拉汽车,且实现了部分遭“入侵”的特斯拉车型的远程控制功能。其中包括:
- 禁用哨兵模式;
- 启动无钥匙驾驶,打开车门、车窗;
- 行驶时可以闪烁灯光,在车内播放音乐/视频内容;
- 查询车辆确切位置,查询车内是否有人。
虽然只是入侵了25辆特斯拉汽车,但可以说控制了以上功能足以对这些特斯拉车主们构成直接的人身安全威胁。
但好在这位白帽子黑客随后主动与特斯拉的安全团队取得了联系,其声称是通过第三方应用对特斯拉的车辆进行了入侵、所入侵的大部分车辆中具备2FA(双重认证,令牌)功能,随后,特斯拉对此进行了安全更新。
回到此次蔚来数据遭窃的事件上来,虽然这次只是普通的汽车数据遭窃,不涉及车辆驾乘及远程控制等,涉及用户直接人身安全的网络入侵问题。
但关于汽车数据安全的问题,在去年8月份国家网信办、发改委等五部门联合发布了《汽车数据安全管理若干规定(试行)》已经把汽车数据安全如何处理,出了事如何划分责任说的很明确了。
其中明确表示,“工业和信息化领域数据处理者应当对数据处理活动负安全主体责任。”
而汽车厂商就是汽车数据运营的主体,自然也是数据安全的第一责任人。
而此次蔚来数据遭窃,可谓也给如今的智能汽车数据安全再一次敲了警钟。