「核心提示」
包括车主亲密关系在内的700多万条蔚来汽车数据,被盗取后在网上明码标价销售。多名行业内人士指出,此事件为汽车行业智能化转型敲响了警钟,蔚来本是造车新势力,都在数据管理上出现问题,更何况那些不就擅长智能化领域的传统车企。
作者|悟能
1、700多万条蔚来数据明码标价销售
近日,有人在网上明码标价,销售蔚来汽车数据。
售卖者称其破解了蔚来大量数据,给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据,保护车主和用户,因此其决定有偿曝光。
作者详细列出了9条数据的标价,并详细地给出了建议购买对象。其最后还称,因为数据较多,全部数据打包价1个比特币。
这些数据包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还涉及车主身份证、用户地址、车主亲密关系、车主贷款数据等隐私信息。据统计,仅在网上售卖的数据,排除重复的可能性外,共有716.68万条。
Arcadia Finance链上联系攻击者,要求退还90%被盗资金:7月10日消息,Arcadia Finance 在社交媒体上发文表示,已经注意到协议中存在潜在漏洞并暂停合约,正在与安全专家一起调查根本原因。Arcadia 还透露,已经在链上告知攻击者,要求攻击者将 90% 的资金退还到官方提供的地址;如果在接下来的 24 小时内没有任何资金被返还,Arcadia 将向执法部门上报此事。[2023/7/10 10:46:18]
1蔚来内部员工数据2.28万条,包含总裁到一线员工,从事新能源招聘和猎头工作的,可以关注,售价0.15比特币。
2车主用户身份证数据39.9万条,从事黑灰产的可以关注,售价0.25比特币。
312.5万条,售价0.15比特币。
4用户地址数据65万条,售价0.15比特币。
5蔚来注册用户数据485万条,售价0.15比特币,蔚来竞争对手可以关注。
6企业及企业代表联系人数据1万条,售价0.1比特币。
7订单49万条及9万条退单数据,蔚来竞争对手可以关注,售价0.15比特币。
8车主亲密关系数据36万条,挖掘社会关系的可以关注,售价0.2比特币。
9车主贷款数据17万条,售价0.1比特币。
Hut 8 CEO:比特币矿业委员会通过调查行业参与者来制作季度报告:金色财经报道,加拿大比特币矿商 Hut 8 的首席执行官 Jaime Leverton表示,让这场比赛在每个人的眼前展开,为比特币挖矿创造了一定程度的透明度,这是传统金融体系所不具备的。就矿工的能源来源而言,Leverton指出,比特币矿业委员会通过调查行业参与者来制作季度报告。[2023/4/10 13:53:45]
2、蔚来创始人李斌道歉:我们没有做好
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙,在蔚来官方社区发布公告称,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币,约合人民币1570.5万元。
“在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。”蔚来汽车在声明中称,经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
蔚来汽车声明中还说,窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。蔚来将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。
Coinbase CEO:美国应明确加密立法,香港和欧洲处于领先地位:金色财经报道,Coinbase首席执行官Brian Armstrong在推特援引“香港将于今年 6 月正式对所有公民开放加密交易”的消息称,美国可能会失去其长期作为金融中心的地位,因为对加密货币没有明确的规定,监管环境也很恶劣。Brian 呼吁美国国会应尽快采取行动,明确立法。他指出,欧盟、英国和香港目前在对加密的开放性处于领先地位。
加密KOL “Crypto 熊猫”在推文中表示:“2023年6月1日,香港将正式使加密货币买卖、交易对所有公民完全合法,期待大量大资金从东方涌入。香港也将推出基于亚洲货币的稳定币。”[2023/2/16 12:10:20]
对于是否因翻越蔚来防火墙导致数据失窃,蔚来汽车高层回应媒体称,目前数据被窃取的情况还在调查中。
针对可能造成的用户损失,蔚来汽车客服人员称,不会做出主动赔偿,目前尚未出台赔偿方案,但对客户的反馈会记录再案,且会对因本次事件给用户造成的损失承担责任。
蔚来汽车客服同时提醒,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。
蔚来汽车信息安全委员会负责人卢龙称,事件发生后,对公司网络信息安全进行了排查与强化。
无息DeFi借贷协议Sturdy Finance推出代币STRDY:12月16日消息,无息DeFi借贷协议Sturdy Finance宣布发行代币STRDY,并将进行空投。Sturdy表示将从今日开始每一天公布可获得空投的资格要求。
今日公布的信息显示,在2022年11月21日前,至少在Aura Aave Boosted池质押1000美元或在Aura wstETH/WETH池质押1枚ETH的用户将可以获得空投。空投代币将于2023年开放领取,开始时将无法进行转账。
据此前报道,今年3月,Sturdy完成390万美元种子轮和战略轮融资。[2022/12/16 21:48:52]
当晚,蔚来创始人、CEO李斌在蔚来社区中道歉。
“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。”
李斌称,公司不会与不法行为妥协,也请大家及时提供线索。
卢龙在社区中称,本次事件不涉及车辆使用中产生的数据,比如行车轨迹、座舱数据,也不影响车辆的架乘或远程控制。
3、数据管理存在问题,打击用户信任度
蔚来社区上述声明评论区下方,已有将近1000条用户评论,数百条点赞。
BNB Chain推出1000万美元Gas费激励计划支持Web3 DApp增长:10月26日,据官方消息,BNB Chain宣布推出1000万美元增长激励计划(Growth Incentive Program),以支持Web3 DApp的增长。
该计划最初的目标是在第四季度支持多达100个项目,每个项目每月可获得最高800 BNB的Gas费奖励。BNB Chain承诺每月为参与的相关团队提供共计100万美元,帮助其进一步获取用户并实现增长。[2022/10/26 16:38:43]
大多数用户关注的问题是:数据如何被窃取的?哪些数据被泄露?泄露到了何种程度?是否已经止损?会造成什么影响?如何赔偿?如何防止类似事件再发生?
还有车主直接要求赔偿付钱,也有车主讽刺蔚来汽车多多邀请李荣浩再唱几首歌曲。
很多车主反馈信息显示,他们近日接到推销汽车的电话增多。
一名蔚来汽车车主告诉《超源力》,他的电话设置了防诈功能,因此一些推销骚扰电话被屏蔽了,不过近日被屏蔽的电话确有增加。
“我估计我的个人信息,差不多已经裸奔。”上述车主在等待调查结果,但他对信息不被泄漏已经失去信心。
登陆蔚来App后,用户本人信息,主要包括积分、账单、订单、邀请好游等内容,在朋友一栏中可以导入通讯录,上述包括的信息主要有用车城市、地址、手机号等。
如果车主是蔚来App办理购车手续成为深度用户,车主在“我的证件”中可添加的信息较多,包含身份证、护照、社保、行驶证、驾驶证、购车额度证明、购车指标等信息。
上述车主告诉《超源力》,他当初没有添加过多信息,一方面就是买了一辆车,第二平时太忙没有时间参加活动,所以,即使这次信息泄露,也就是基本信息。
蔚来汽车遇到涉及信息安全、数据安全的事件不止这一起。
今年4月,蔚来在一份内部通知中称,去年9月1日,蔚来风险管理部门收到相关投诉,投诉表明该公司一名员工利用职位之便,使用公司内部服务器挖矿,时间超过一年。
蔚来在内部通知中强调,该行为已经违反法律,同时也对公司系统安全和业务信息安全产生了负面影响。
早在2019年,多名车评人发文指责蔚来涉嫌记录车主行程数据,泄露私密旅程信息。
蔚来汽车非常看重用户体验,李斌一直强调改变服务用户方式。为此,公司提供了将车、桩、换电站、手机等全部云连接。李斌还投入精力与金钱运做车电分离,推出电池是服务的Bass模式。
“这么多数据能被流出来,说明蔚来的管理存在问题。”一名不愿具名的车企工程师称,这个事件的影响,可能会打破蔚来非常重视的用户信任感。
该工程师分析称,从售卖的数据来看,数据已被分类处理,其中亲密关系这一类数据泄露,会让部分车主感到担忧。
此次事件中,数据如何被盗取?
一般而言,黑客会通过撞库窃取数据。撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站,得到一系列可登录网站的用户信息。
此次泄露出来的数据显示,盗取者掌握的数据权限级别很高。另外,此次泄露数据规模之大和层级之高,有可能是批量盗取,不排除内鬼的可能性。
多名车企工程师认为,这次泄露的数据,多集中在个人信息层面,尚未出现车辆行驶数据,可能不会对车辆安全造成影响:因为,第一,车辆数据记录性能居多,一般介入行驶都会非常谨慎;第二,要攻击车辆驾驶,需要更高的技术门槛,车载安全网关也会拦截。
蔚来此次数据事件,公告是在被勒索后的第10天发布的。有车主认为,告知不及时。
“这里面有个合理时间和是否存在应急告知的原因。”上海知名律师秦学勇指出,假定泄露的数据危及到行车安全等,那就算应急事件,需要第一时间告知;如果泄露数据并不存在紧急危害,法律法规要求在合理时间内告知。
根据目前已知的泄露数据分析,大多涉及个人信息,并未出现行车安全数据,因此,秦学勇认为,告知时间上蔚来并没有违规。
另外,根据工信部印发的《工业和信息化领域数据安全管理办法》规定,数据处理者在数据安全事件发生后,应当第一时间向本地区行业监管部门报告,对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户。办法中并未强制规定告知的时间限定。
另外,根据现有法律法规判定,涉及个人信息主体超过10万人的个人信息,即是重要数据。此次数据泄露数量,已经超过重要数据定义的下限,位列重要数据等级。
蔚来汽车在此次数据被盗取的事件中,至少存在管理不善的问题。
国内一家车企高管告诉《超源力》,数据应该加密处理,权限管理上车企都比较严格,能够被盗取,说明在安全管理和加密技术上还需要加强。
另外,汽车数据处理者在数据处理中坚持的原则有一条是脱敏处理原则,即数据处理者要尽可能进行匿名化、去标识化等处理。目前,被抛到网上售卖的数据,并没有做上述处理,要知道这些数据是去年8月之前的数据。
“这次事件给所有车企敲响了警钟。”上述车企高管指出,电动智能化转型,不光有电动化转型,更重要的智能转型尤其要注意数据管理和挖掘能力建设,这一点很多车企做的远远不够。
他同时指出,此前全球知名车企也遭遇过数据安全事件。比如,法拉利和丰田都遭遇过汽车信息泄露事件。法拉利被窃取了6.99GB数据,丰田旗下的T-Connect近30万用户的个人信息被窃取。
上述车企高管指出,黑客对智能汽车攻击次数正在成倍增加,造车的难度已经不光是车本身。
对于此次事件中窃取者涉嫌犯罪的认定,秦学勇指出,黑客入侵盗取海量公民个人信息,属于非法获取计算机信息系统数据罪;黑客将海量信息放在网上售卖,涉嫌侵犯公民个人信息罪。而对用户造成损失的,车企将面临个体诉讼和集体公益诉讼。
标签:比特币CEOConnect比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势CEO币CEO价格Connect币是什么币
为帮助和指导处于恢复期的新型冠状病感染者自我健康管理,陕西省卫生健康委组织专家组制定了《陕西省新型冠状病感染者康复指导手册》.
1900/1/1 0:00:00蓝碳是指从大气中吸收并储存在海洋中的二氧化碳。“蓝色”是指这种储存的水性。绝大多数蓝碳是直接溶解到海洋中的二氧化碳.
1900/1/1 0:00:00灵魂拷问:为什么合约人经常爆仓还有那么多人玩? 其实都是人性! Jenny:币圈品牌公关着重于对品牌价值感和公信力的塑造:6月4日晩.
1900/1/1 0:00:00大家好呀!过年加新冠,好久未相见。今天终于可以继续叨叨经济金融的这些事儿了。话说大家一定要做好防护啊,虽然现在国内第一波已经过去,归于平静。但是在平静的表象下,可是暗流涌动.
1900/1/1 0:00:002022年与我国大陆地区往来贸易最密切的20个国家和地区:美国高居第一,马来西亚进入前十,英国仅第18.
1900/1/1 0:00:002022年2月24日俄乌战争爆发后,我们于二月下旬和三月做了不少的推演和预测。其中包括:斗智方面、通胀方面、在军事上的策略、在挑战美元霸权方面,还有一项是有关大亚洲经济圈的.
1900/1/1 0:00:00