作者:admin 发布时间:2022-12-26 09:00:06 分类:头条 浏览:180 评论:0
炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会!
来源:国际金融报
有业内人士认为,本次泄露的信息以及勒索事件或与4月份的员工挖矿行为有所联系。
随着智能汽车的不断普及,信息安全也成为了车企与消费者关注的重点。
12月20日晚间,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布《关于数据安全事件的声明》,回应近期部分用户数据遭窃取并被勒索一事。
声明表示,2022年12月11日,蔚来收到外部邮件,邮件称拥有蔚来内部数据,并以泄露数据勒索225万美元(约合人民币1568万元)等额比特币。调查结果显示,被盗数据为2021年8月之前的基本用户信息和汽车销售信息,不涉及车辆使用中产生的数据以及车辆的驾乘或远程控制。
蔚来汽车创始人、董事长李斌就该事件在蔚来社区致歉,他表示“会对此次事件给用户带来的损失承担责任”,同时已经协同有关部门深入调查,不会与不法行为妥协。
40万用户身份证数据泄露
网上传播的数据显示,蔚来被泄露的信息包括车主身份证、家庭住址、贷款数据等,这些信息被黑客明码标价的在市面上出售。
其中,蔚来的车主用户身份证数据有39.9万条,“售价”0.25比特币;用户地址65万条,标价0.15比特币;蔚来内部员工数据2.28万条,涵盖总裁到一线员工,“售价”0.15比特币;49万条订单及9万条退单数据,标价0.15比特币;蔚来app用户的注册数据、车主贷款信息等等内容,“售价”从0.15到0.25比特币不等。
值得注意的是,蔚来本次被勒索的并不是市面上流通的货币而是比特币,这是今年蔚来遇到的第二起与加密货币有关的案件。
早在今年4月份,蔚来内部曾发布一项处理通报,该通报显示蔚来某集群服务器管理员张某自去年2月份开始,利用公司服务器算力资源违规进行虚拟货币以太币的数字挖掘作业,并从中获利,其在调查中承认自己的违规行为。
“挖矿”行为除了给公司带来负面影响外,还有可能会给黑客机会窃取公司机密。
有网络工程师透露,公司内员工通过植入“挖矿”木马,利用公司服务器强大算力获取加密货币,这种“挖矿”木马通常会操作“关闭Linux/Windows防火墙”、“安装Rootkit后门”等高危行为,木马控制者还可能窃取服务器机密信息,控制服务器进行DDoS攻击,以此服务器为跳板攻击其他计算机。
有业内人士认为,本次泄露的信息以及勒索事件或与4月份的员工挖矿行为有所联系,《国际金融报》记者向蔚来方面求证,但截至发稿前并未收到回复。
多家曾陷数据安全风波
近几年关于车企相关信息泄露事件并非蔚来一家。
今年10月份,丰田汽车发布声明表示,使用公司T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。据了解,可能受影响的主要客户是在2017年7月之后使用电子邮箱注册丰田汽车T-connect服务的群体。
同月,RansomEXX勒索软件团伙在其数据泄露网站上发帖,声称成功入侵了知名汽车制造商并窃取了6.99GB数据,其中包括内部文档、数据表、维修手册等。该事情也被法拉利官方证实,这些遭到泄露的数据是真实的。
今年5月份,通用汽车发布声明称,黑客通过在线移动应用程序获取了部分客户的个人信息,包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏、安吉星所订阅的套餐、个人头像、搜索历史等。
曾有数据统计,一辆智能网联汽车每秒产生的数据在8G左右,每天至少可以收集10TB左右的数据,这对于汽车制造商来说具有巨大的价值,但一旦泄露被人利用也将成为制造商们头疼的问题。
有业内人士分析,个人数据安全并不是用户的显性需求,与续航、自动驾驶、车内交互、价格、服务相比,个人数据安全有关的功能和体系并不会影响车主购车体验,这使得个人数据安全成为一个潜在的“缺陷”。
国家发展改革委曾预计,至2025年,中国智能汽车渗透率将达到82%,2030年将提升至95%,这也意味着,智能化带来的信息数据安全问题愈发值得重视。
面对这样的问题,在车企调整对于信息安全的保护措施外,国家相关部门也陆续出台了车联网领域的政策。
近些年,《汽车数据安全管理若干规定(试行)》、《关于加强智能网联汽车生产企业及产品准入管理的意见》、《信息安全技术网联汽车采集数据的安全要求》等陆续出台,加强在数据安全、网络安全、功能安全和预期功能等方面的管理。