南方财经全媒体记者 吴立洋 21世纪经济报道记者 诸未静 实习生谭砚文 北京,上海报道
12月20日,网络中开始流传一份售卖蔚来公司数据的信息,据所传内容显示,本次泄露的数据内容包括蔚来内部员工数据、车主身份证数据、用户地址数据等。
随后,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,表示12月11日蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元(当前约 1570.5 万元人民币)等额比特币。
(相关资料图)
经初步调查,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来对于此次事件对用户造成的影响深表歉意,并承诺对因本次事件给用户造成的损失承担责任。
在该则致歉声明的评论区,蔚来CEO李斌也留言进行了道歉,并表示将协同有关部门深入调查此次事件,对窃取和买卖相关数据的违法犯罪行为追查到底。
多位受访专家表示,由于智能车数据传输涉及移动APP、服务器和车机三个端口,其安全防护工作也更加复杂,作为数据泄露发生的主要责任方,蔚来公司需要在及时进行安全补救的同时,承担造成用户损失的责任,同时也面临着遭到行政处罚的风险。
智能车安全隐患亟待重视事实上,本次已是近年来蔚来第二次发生重大信息安全事件。今年4月,蔚来在一份内部通告中表示,2021年9月1日,蔚来风险管理部门收到相关投诉表明,该公司的一位员工利用职位之便,使用公司内部服务器进行了以太坊挖矿,时间长达一年以上,经过内部授权调查,蔚来证实该事件属实。
蔚来表示,该行为已经违反法律,也对公司系统安全和业务信息安全产生了负面影响。
“相较于手机、PC直接与服务器进行点对点通信的形式,从网络安全角度看,智能车主要的特点在于除了用户手机APP和云端服务器,还多了车辆本身的一端。”梆梆安全安全服务中心总监黄潇在接受南方财经全媒体记者采访时表示,一旦黑产实现了对云平台防御的突破,是有可能利用内置好的通信控制协议实现对车辆的单点控制的。
他补充表示,从本次泄露内容来看,蔚来遭到网络入侵的入口点可能包括两个方面:一是蔚来汽车的官网服务器泄露,二是车机与云平台直接的连接环节发生泄露。鉴于本次发生的是规模性用户数据泄露,单个车机私有文件或者控制类文档被泄露的可能性较小,作为企业的核心机密,后者如果发生泄露也可能对蔚来造成较为严重的后果。
近年来,智能车领域网络安全与数据泄露问题的发生正变得愈加频繁。2018年5月,本田汽车公司印度分公司超5万名用户的个人信息遭到泄露;2022年3月,因未支付勒索软件的赎金要求,零件供应商Visser Precision的诸多客户信息被公开,其中包括特斯拉、波音、SpaceX等行业巨头的机密信息;同年6月,因遭到勒索软件攻击,本田多家汽车生产工厂被迫停工两天,其服务器、内网功能受到不同程度影响。
黄潇表示,随着智能车产业流量回放技术的不断升级,车联网传输加密是相关安全领域最需要关注的问题,如果黑客破解了传输加密的方式并进行流量回放,必然会导致数据泄露的发生。
此外,智能车也面临着安全与效率的困境,如果对存储、传输等步骤施加过多的加密环节,可能会导致操作运行过程出现延迟,进而危害行车安全,作为设计人员既需要保证车机的反应效率,也需要兼顾安全防护需求。
企业如何担责北京清律律师事务所首席合伙人熊定中在接受南方财经全媒体记者采访时指出,蔚来企业作为对数据有安全义务的一方,对所有的被泄露个人信息的主体都有赔偿责任。因而在本次事件中,无论是员工还是客户,作为泄露个人信息的受害者,蔚来公司都需要承担相应责任。
对于合作企业,则需要看其在蔚来公司具体留存的数据内容。熊定中表示,如果被泄露的只是联系数据或财务数据,只需要评估相关数据是否构成行业秘密,如果不构成,在法益上其实是没有什么损害的。
在蔚来公司发表的声明中,其表示对因数据泄露事件给用户造成的损失承担责任。而据财联社报道,蔚来汽车客服人员在回复相关问题时也表示将对用户损失承担责任,但“不会做出主动赔偿”。
企业因发生数据泄露而赔偿遭到影响的用户,相关案例在网络安全领域并不少见。2021年,美国加州法院就Facebook照片标记功能侵犯隐私案件批准了其和解协议,要求Facebook向160万用户赔偿6.5亿美元(约合42亿人民币),每人至少345美元(约合2404人民币);今年2月,美国三大信用评分报告公司之一的Equifax同样因发生于2017年的信息泄露事件被判支付7亿美元的赔偿金和罚款,其中4.25亿用于消除该事件对信息被泄露者的影响。
“从用户角度来看,其主要面临的损失是作为人格权客体被侵害。”熊定中表示,在实践中,相关算是落实到个人头上往往较为轻微,也很难量化,受限于一些个保法在落地中的诉讼障碍,到目前为止国内很少有具体的因数据泄露而进行赔偿的案例,且大部分是公益诉讼而非私人的集体诉讼。
除对用户可能需要承担的赔偿责任外,蔚来公司可能还面临着遭到行政处罚的风险。
熊定中表示,根据现行法律法规,如果监管部门查实蔚来存在处理个人信息未履行本法规定的个人信息保护义务的,对蔚来最高可能处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
黄潇表示,当前蔚来公司需要第一时间追溯数据泄露的渠道,及时处理漏洞防止发生持续泄露和盗取事件,其次要根据日志进行分析溯源,包括对外查看入侵痕迹和对内进行审查审计工作:“在保密工作已经达到一定标准的情况下,发生内部泄露的概率也是存在的。”