小13箩利洗澡无码视频免费网站-亚洲熟妇无码av另类vr影视-国产精品久久久久乳精品爆-宅女午夜福利免费视频

被勒索的蔚來冤枉嗎?-環(huán)球視點
時間:2022-12-23 07:52:54  來源:引領外匯網  
1
聽新聞

蔚來被黑,李斌“落淚”。

編者按:本文來自微信公眾號 深途(ID:shentucar),作者:黎明,編輯:艾小佳,創(chuàng)業(yè)邦經授權發(fā)布。

12月20日,蔚來汽車的信息安全負責人發(fā)了一個公告,說公司被人勒索了,對方聲稱搞到了蔚來內部數(shù)據(jù),張口要225萬美元,比特幣支付。


(相關資料圖)

勒索的郵件在9天前收到,蔚來調查后發(fā)現(xiàn),對方是來真的:

被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

蔚來表態(tài):堅決不會向網絡犯罪行為低頭。20日晚上,蔚來老板李斌出來道歉,說沒保護好用戶的信息安全,愿意承擔責任。他重申:不會與不法行為妥協(xié)。

與此同時,一張有人兜售蔚來數(shù)據(jù)的聊天截圖在網上流傳。這人宣稱破解了蔚來大量數(shù)據(jù),給了蔚來兩次機會,但沒談攏,現(xiàn)在公開對外出售,只要1個比特幣 (約12萬人民幣) ,就可以全部拿走。

稍微有點法律常識的人看到這里,就能明白這肯定是犯法了。這不僅侵犯了個人隱私,還構成敲詐勒索。

對方倒是顯得理直氣壯,說錯不在我,是因為蔚來不給錢,這才有償曝光。他認為蔚來有錯:

寧愿花費千萬請歌手,也不愿意買斷這部分數(shù)據(jù)來保護各位車主和用戶。

不愧是高智商犯罪。如果可以給這事再加一項罪名,那一定是綁架罪——道德綁架。

勒索者公開倒賣的截圖信息未得到蔚來官方確認,但也沒否認。不過數(shù)據(jù)泄漏,是板上釘釘了。

這應該是近兩年來汽車行業(yè)最嚴重的數(shù)據(jù)泄露事故之一。之前大家總擔心個人隱私泄露,因為一些手機APP動不動就違規(guī)收集個人信息,一不小心就“裸奔”?,F(xiàn)在,智能汽車的車主們,可能也離“裸奔”不遠了。

泄露了哪些數(shù)據(jù)?

在官方通告里,蔚來沒說具體泄露了哪些數(shù)據(jù)。但網傳的賣數(shù)據(jù)的人 (以下簡稱“勒索者”) 把清單列的明明白白。

這些數(shù)據(jù)可以理解為一個超大數(shù)據(jù)包,內部又分成很多子集,但總體上可以分為兩大類:蔚來的公司數(shù)據(jù),車主的個人數(shù)據(jù)。

公司數(shù)據(jù)主要包括以下這些:

車主數(shù)據(jù)包括如下這些:

所以在這起數(shù)據(jù)泄露案中,蔚來車主和蔚來公司都是受害者。

首先受影響最大的肯定是車主。從身份證到地址,甚至貸款信息都泄露了,這都是黑灰產長期搜尋的對象,被泄露的車主以后很可能騷擾電話沒完沒了。

值得一提的是這里還有個“車主親密關系數(shù)據(jù)”,懂數(shù)據(jù)分析的人可以在這個數(shù)據(jù)基礎上挖掘車主的社會關系。比如“緊急聯(lián)系人”,騙子拿到這個數(shù)據(jù)就可以冒充你,給你親人發(fā)短信,說車撞了快打錢來。

蔚來公司也會受到影響,一些比較重要的數(shù)據(jù)泄露了。比如22800條內部員工數(shù)據(jù),總裁到一線員工都包含在內了。這些數(shù)據(jù)對普通人可能沒啥價值,但對從事新能源招聘和獵頭工作的人來說非常值錢。

一位汽車獵頭對深途說,前些年很多獵頭會買數(shù)據(jù),要不然就得一個個打電話去問,求著問公司組織架構?!盎c錢其實能省很多事情,不過現(xiàn)在越來越少了?!?/p>

另外,蔚來注冊用戶數(shù)據(jù)、訂單及退單數(shù)據(jù),可以用來分析蔚來潛在車主情況,總結退單原因,如果被競爭對手掌握將會比較被動。

勒索者提到,以上數(shù)據(jù)只是部分,因為數(shù)據(jù)較多,還有一些子業(yè)務數(shù)據(jù)沒有列出,全部數(shù)據(jù)打包價1個比特幣。

這個事情的性質是比較惡劣的。雖然個人數(shù)據(jù)泄露不是新鮮事,但新能源汽車行業(yè)的數(shù)據(jù)泄露卻是一個新課題。造車新勢力們一直標榜智能化,將數(shù)據(jù)視為核心資產之一,結果連基本的數(shù)據(jù)安全保護都做不到,不得不讓人憂心。

蔚來很重視。先是蔚來信息安全負責人代表蔚來出來發(fā)通告,然后李斌專門出來道歉,第二天蔚來又在港交所發(fā)布通告。由此可見一斑。

這些數(shù)據(jù)還能干啥?

數(shù)據(jù)泄露后,車主最關心的問題是,自己會受到什么影響?

除了可能會被黑灰產盯上,這些數(shù)據(jù)還能被拿來干啥?比如,會不會車子直接被遠程開走了?又或者,有一天突然剎車踩不動?

大家的擔心不是空穴來風。因為既然數(shù)據(jù)能被泄露,那說明蔚來的數(shù)據(jù)保護是存在漏洞的。有漏洞就有被入侵的風險。

早在五年前就發(fā)生過黑客偷車的事件。當時偷車賊盯上了斯巴魯汽車的數(shù)字鑰匙系統(tǒng),制作了一個能收集無線電信號的簡單設備,計算出下一個滾動代碼,然后將類似的無線電信號發(fā)送回目標汽車,就把斯巴魯汽車的遙控鑰匙系統(tǒng)給破解了。

破解之后能干嘛呢?簡單說就是,數(shù)字鑰匙能干的事,它都能干。比如解鎖車門、鳴笛、獲取車輛位置記錄信息等。而攻破漏洞的這套裝置,成本不到30美元。

當然,這五年里車企的技術取得了很大進步,很多漏洞被補上了。但這就像一場貓鼠游戲,總有人能發(fā)現(xiàn)新的漏洞。

即便強如特斯拉,也避免不了被“黑”。“紅衣教主”周鴻祎說,360就曾三次破解特斯拉云端的系統(tǒng)。2020年,特斯拉Model X的自動駕駛系統(tǒng)多次被黑客入侵。2021年,特斯拉因車內攝像頭記錄車內大部分空間信息陷入“隱私門”,其中的監(jiān)控錄像就是一名黑客入侵特斯拉汽車后曝出來的。

理論上,只要聯(lián)網了,任何一家車企的系統(tǒng)都有被破解的可能。這其中的關鍵在于,黑客有沒有必要去干這個事,要考慮時間、成本、技術問題。

蔚來被盯上,一方面因為蔚來樹大招風,雖然現(xiàn)在理想和小鵬發(fā)展也很快,但若要論資排輩,以及比影響力,那還是得蔚來。尤其是在歐美市場,大家就認蔚來。另外,蔚來的品牌比較高端,車價對標BBA,車主大部分是中產或所謂的有錢人,這些人的信息更值錢。用一位業(yè)內人士對深途的說法:“更好賣?!?/p>

不要小瞧了一些看似無關緊要的個人信息,這些信息對一些黑灰產來說,簡直是富礦。

我們舉一個例子。高德地圖之前做過一個報告,僅統(tǒng)計了不同品牌汽車車主的行程軌跡,就得出了如下結論:奔馳用戶比較有錢,因為住別墅的比例較高;寶馬用戶喜歡購物,因為經常去步行街或購物中心;沃爾沃用戶愛好文藝,因為總是去劇場和名勝古跡;奧迪用戶多為體制內人員,因為他們的行蹤總是出現(xiàn)在政府機關。

搞清楚了這些人的用戶畫像,就可以打電話給他們做精準營銷。電話推銷員肯定會向奔馳車主推薦別墅,而不會冒充親人找奧迪車主要錢,尤其是那些常用地址是派出所的奧迪車主。

那么,如果你是一個蔚來車主,而且恰好還是在2021年8月之前提的車,你現(xiàn)在是不是有點慌?

先別慌。蔚來說事情還沒完全搞清楚,還在進一步調查數(shù)據(jù)泄露的原因和影響范圍。蔚來信息安全負責人在李斌道歉后特意補充了一句:本次事件不涉及車輛使用中產生的數(shù)據(jù)(如行車軌跡、座艙數(shù)據(jù)),也不影響車輛的駕乘或遠程控制。

不說具體泄露了啥,只說沒泄露啥,那說明沒泄露的這部分是關鍵數(shù)據(jù)。以蔚來的說法來看,對車主的影響應該還是有限的。以上提到的破解車輛、掌握你的行蹤,應該不會發(fā)生。

一位蔚來車主就很淡定,他對深途說:“泄露的這些數(shù)據(jù),其實在中國商業(yè)環(huán)境下很多途徑也能拿到,只是把它們組合在了蔚來車主的場景下?!?/p>誰來承擔責任?

還有一個非常關鍵的問題:蔚來的數(shù)據(jù)是如何泄露的?誰竊取了這些數(shù)據(jù)?

通常情況下有兩種可能,一是黑客攻擊,二是有內鬼。

目前已知的信息中,有人在公開賣蔚來泄露的數(shù)據(jù),但無法判斷這份數(shù)據(jù)經過了幾道手。因為交易數(shù)據(jù)的人和竊取數(shù)據(jù)的人,有可能不是同一人。從勒索者的表述來看,黑客攻擊破解的可能性更大一些。

北京至普律師事務所合伙人李圣對深途說,竊取或者以其他方法非法獲取公民個人信息的,構成侵犯公民個人信息罪,判刑三年以下或拘役,情節(jié)特別嚴重的判刑三到七年,還會有罰金。另外,獲得數(shù)據(jù)的人向蔚來索要贖金,還構成了敲詐勒索罪。

勒索者既然敢公然兜售數(shù)據(jù),肯定是熟知這其中利害的,所以在要錢時,指明只接收比特幣,因為比特幣不好追蹤。

那么有沒有可能是蔚來內部員工泄密呢?目前不能完全排除這種可能性。

互聯(lián)網行業(yè)歷史上發(fā)生的數(shù)據(jù)泄露事件,有不少就是出了內鬼,甚至里應外合打配合。

李圣律師說,如果違反國家有關規(guī)定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,按照侵犯公民個人信息罪從重處罰。

內部泄密的情況發(fā)生,往往是因為公司內部的信息安全保護機制出了問題。

新能源汽車的數(shù)據(jù)存在向供應商、合作伙伴、集團其他業(yè)務等第三方共享、轉讓、委托處理數(shù)據(jù)的情況。比如自動駕駛,很多車企會跟第三方自動駕駛公司合作,就會涉及到數(shù)據(jù)的共享問題。大量敏感數(shù)據(jù)在多部門、組織之間頻繁交換和共享,擴大了數(shù)據(jù)暴露面。如果公司內部沒有完善的制度,數(shù)據(jù)泄露的風險是很大的。

車企掌握了大量用戶數(shù)據(jù),因此更有責任做好風險防范。有自稱從事信息安全的人給李斌留言說,信息安全和工作效率天生就是相悖的,此次蔚來數(shù)據(jù)泄露事件,不能只歸罪于外,內因是根本,必須有內部問責機制。

蔚來公司的信息系統(tǒng)安全防護能力如何?這個很難評估。但有這樣一件小事,或許能部分說明問題。

今年4月,蔚來在公司內部發(fā)布了一項處理通報,公司某集群服務器的管理員張某,利用職務便利,偷偷用公司服務器算力資源進行以太坊挖礦,時間長達一年之久。直到被人投訴至公司風險管理部門,蔚來才發(fā)現(xiàn)這事。在調查中,張某對自己的違規(guī)行為供認不諱。

不論是黑客還是內鬼,能鉆漏洞的前提,是要有漏洞可鉆。

當然,在蔚來數(shù)據(jù)泄露這件事里,蔚來也是受害方。不僅數(shù)據(jù)丟了,品牌受損,還可能要對車主進行賠償。

李圣對深途介紹,如果信息泄露的車主因此產生了損失,蔚來不能證明自己沒有過錯,應當承擔損害賠償?shù)惹謾嘭熑巍>唧w的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定。損失或利益難以確定的,根據(jù)實際情況確定賠償數(shù)額。

在十天前收到勒索者的郵件時,蔚來有兩種選擇,一是交錢私了,二是不予理會。蔚來選擇了后者,而且態(tài)度強硬。

這十天里蔚來沒有公開此事,去年8月前提車的蔚來車主們,也不知道自己的信息已經被泄露了。直到有人把這些數(shù)據(jù)拿到網上去賣,蔚來才公開承認。

非法竊取數(shù)據(jù)、敲詐勒索的行為是必須堅決予以打擊的,但掌握著大量用戶數(shù)據(jù)的車企們,也應該承擔起保護數(shù)據(jù)安全的責任,這是企業(yè)的本分。希望車企不要再讓車主無故“裸奔”。

關鍵詞: