再度暴雷
数据安全在汽车行业进入多事之秋,近日该问题再爆巨雷。
海外网5月27日消息,据英国《卫报》26日报道,一名举报者向德国《商报》泄露了100GB的特斯拉数据,除了首席执行官马斯克的社保号码、员工工资等信息,还包括数千名客户投诉。此外,泄露的文件还包括超过10万名前现任员工信息、客户银行详细信息,甚至是马斯克的社保号码以及私人邮箱和电话等信息。
实际上,这并非特斯拉第一次被指控违反数据保护条例。在此之前就有9名特斯拉前员工向路透社透露,在2019年至2022年期间,他们通过内部消息系统分享了客户车载摄像头拍摄的高清视频和照片。 在此之前,汽车行业的数据泄露问题就已经甚喧尘上。 2022年12月11日,蔚来收到外部邮件,邮件称拥有蔚来内部数据,并以泄露数据勒索225万美元(约合人民币1568万元),被盗数据为2021年8月之前的基本用户信息和汽车销售信息,不涉及车辆使用中产生的数据以及车辆的驾乘或远程控制。 2022年10月,丰田汽车发布声明,丰田互联(即TOYOTA Connected)管理的部分数据,由于云平台系统的设置错误,导致数据被公开。被发现后,丰田汽车方面已经停止了外部访问,并对丰田互联管理的所有的云环境进行了调查。调查结果显示,可能被泄露的用户信息包括车载终端ID、车架号、车辆位置信息,以及时间等,对象则覆盖了自2012年1月2日至2023年4月17日期间注册使用T-Connect、G-Link、G-Link Lite,以及G-BOOK的近215万名用户,数据处于外部可访问状态的时间段在2013年11月6日至2023年4月17日之间。 同月,RansomEXX勒索软件团伙在其数据泄露网站上发帖,声称成功入侵了知名汽车制造商法拉利,并窃取了6.99GB数据,其中包括内部文档册等。该事也被法拉利官方证实,这些被泄露的数据均为真实数据。 大众汽车集团宣称,330万名客户的数据遭泄露。泄露发生的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。 泄露原因 对于数据外泄的具体原因,报道称是该前员工作为服务技术人员滥用权限所致。即便是离职员工行为,特斯拉也会因未能充分保护客户、员工和商业伙伴的数据,触犯欧盟的《通用数据保护条例》(GDPR)。 早在4月份,这名特斯拉前员工就向德国当局披露了公司存在数据保护漏洞,这才让他有机可乘。目前,荷兰数据保护局已经对超过2.3万份数据文件的泄露,介入并展开了详细调查。 数据泄露的危害 对于车企:用户信息遭到泄露会导致公众的担忧甚至承担法律责任。此次,一旦特斯拉未履行数据安全保护义务的违规行为被证实,恐将被欧盟监管机构处以32.6亿欧元(约合人民币247亿,年营业额的4%)的巨额罚款,创史上最高罚单。除了巨额罚款以外,还有可能造成车企的品牌不再被信任、用户的口碑下滑、用户对品牌的忠诚度下降,导致潜在和现有用户的流失。 对于用户:个人信息泄露后,攻击者可以使用被盗的个人信息,对受害者进行诈骗,甚至盗用银行卡、信用卡等,导致经济损失。或者利用受害者的用户名和密码,使用受害者的各种账号进行违法犯罪的活动。 行业法规 目前,我国在汽车数据合规领域《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》对数据安全提出规范。去年以来,《车联网网络安全和数据安全标准体系建设指南》、《关于进一步加强新能源汽车企业安全体系建设的指导意见》等政策文件相继出台,进一步明确汽车数据安全要求。不久前,《汽车整车信息安全技术要求》和《智能网联汽车自动驾驶数据记录系统》两项强制性国家标准的制修订也正式公开征求社会各界意见。 除了从法律角度对车企数据泄露进行约束,不断出现的数据泄露事件也会加深社会舆论对车企的负面印象,车企自身需要主动做出应对措施,防止数据泄露事件的再次发生。 建议 数达安全建议,车企和相关企业重视网安法、数安法、个保法以及行业系列法律法规,认真履行应尽的数据安全保护法律义务,建立起合规且有效的数据安全技术能力体系、规章管理制度体系,并在应用系统的规划、建设、运营三个阶段,同步进行数据安全的规划、建设和运营。
