logo

淘丁集团:车企如何保护用户数据安全?

来源:淘丁集团

近日,蔚来汽车被黑客重金勒索事件引发了热议。

据蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,12月20日,有不法人士在网上出售蔚来相关数据。

而曾在2022 年 12 月 11 日,蔚来公司就收到了外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元等额比特币。但蔚来没有妥协,故而发生了后续事件。

蔚来当天即成立专项小组进行调查与应对,并第一时间向监管报告此事。

淘丁集团:车企如何保护用户数据安全?插图

12月20日晚,就数据泄露一事,蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉。并也声明“不会与不法行为妥协”。卢龙则进一步透露,他们正在调查数据泄露的原因和影响范围,但“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)”。

据了解,目前已经被确认窃取的数据,为2021年8月之前部分用户基本信息和车辆销售信息。

12月21日早,蔚来发布公开声明,承诺其对因数据泄露事件给用户造成的损失承担责任,并对此次事件深表歉意,还提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。

淘丁集团:车企如何保护用户数据安全?插图1

01

被数据泄露的不只是蔚来

针对蔚来被不法分子勒索事件,有相关媒体随后在暗网中调查发现,近几年,汽车行业遭遇黑客攻击和勒索的情况并不罕见,包括一众知名汽车品牌。根据一份统计自“暗网交易市场”、“长安不夜城”等五个世界知名暗网平台的数据显示,2020年12月至今,共有980起与车企数据泄露事件在暗网平台发布,包括奔驰、长安、奥迪、丰田、大众等。

2022年12月13日,13万奔驰车主数据在暗网遭公开;去年10月25日,奔驰销售管理平台源代码被Against The West 黑客组织公开。

2022年8月13日,中国长安汽车股份有限公司用户数据泄漏,在 Breached Forums上标到了20000美元,数量级据称超过200万条。

2022年6月23日,在暗网交易市场,奥迪汽车的销售数据被售卖,价格200美元,数量级据称179万条。

2022年10月,丰田汽车发布声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露;去年6月,大众汽车曾表示,有将近330万名客户或潜在买家的数据遭泄露。除此以外,现代、雪佛兰等汽车品牌也出现数据泄漏、暗网交易的情况。

淘丁集团:车企如何保护用户数据安全?插图2

根据统计数据,从2020年12月至今,去掉异常数据,平均每个月有7企与车企数据泄露事件在五个暗网平台上发布;其中超过98%的泄露数据为多个车企混合的车主数据,泄露渠道可能为车管所、经销商、第三方平台等。

事实上,中外汽车企业遭遇黑客攻击和勒索的情况时有发生。据了解,很多车企在面对黑客勒索时,更多倾向于采用“息事宁人”的方式,支付赎金以求低调处理。而不是像蔚来这样,硬怼回去。

“窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。”蔚来在声明中表示,将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。

“中汽协支持蔚夹汽车的声明,不应向犯罪行为妥协。”中国汽车工业协会秘书长助理兼技术部部长王耀对记者表示。

“当然,蔚来这次被要的赎金太高,远超行业水平。”有业内专家如是说道。

淘丁集团:车企如何保护用户数据安全?插图3

02

车企如何保护用户数据安全?

据统计,一辆智能网联汽车每天会产生大约10TB的数据,驾乘人员的出行轨迹、驾乘习惯、车内语音图像等个人信息都面临着被泄露的风险。黑客可通过网络攻击劫持或控制车辆行驶,实施关闭引擎、突然制动、开关车门等操控。2020年全球针对智能网联汽车的攻击达到280余万次。

数字化、物联网背景下,智能汽车数量大增。随着汽车数据规模壮大,汽车数据处理能力的增强,汽车数据安全问题和风险隐患也日益突出。

数据的收集、存储和处理都有极为严格的规范,特别是去年《汽车数据安全管理若干规定(试行)》和《个人信息保护法》的相继出台,对汽车产业的数据使用提出了更为明确的规范和要求。如何保护好用户数据安全,成为车企的必做题。

淘丁集团:车企如何保护用户数据安全?插图4

汽车数据包括了汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据,汽车数据处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。

首先,要对数据进行合理分类。在收集数据时进行分类分型,针对不同的类型利用手段去处理数据。例如,与用户相关的隐私数据,当前国家有明确的法律法规要求车企对这类数据进行保护,并对不同的使用场景,对数据要进行明确的分类分级,对敏感数据进行隐匿、变形等脱敏处理。

其次,不过度收集车主数据。例如,默认不收集原则(除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;精度范围适用原则(根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率)。

再次,要注意供应商安全。智能汽车会使用到多种供应商软件,这些软件是为了提升车主的驾驶体验,但也会收集车主数据,因此要选择安全的供应商,对供应商软件进行安全管控。另外,也可以统一车主账号身份管理,保护用户账号数据安全。

淘丁集团:车企如何保护用户数据安全?插图5

最后,引用中国汽车工业协会秘书长助理兼技术部部长王耀的一段话,面对信息窃取、信息勒索、暗网公开的网络违法犯罪行为,需要更多车企站出来,联动相关机构和汽车行业,严厉打击网络黑产,推动整车信息安全技术的提升,更好的保障用户信息安全。

来源:数影星球,综合整理自网易财经、中国网络信息网、腾讯科技等,如有侵权,请联系删除。

淘丁集团基于多年的自动驾驶数据标注经验,自主研发自动驾驶标注工具。我们依托全球资源优势,在国内外拥有大规模的标注专家,能够24小时不间断地为您提供数据标注服务。若您想了解关于标注工具的更多信息,请联系我们。

淘丁集团:车企如何保护用户数据安全?插图6

淘丁数据标注团队现有人员规模近500人,业务分部在西安、宝鸡等地。淘丁与国内大型企业深入合作,日常处理项目量级均为百万级以上,部分数据量级超过千万,拥有稳定充足的业务来源。各类标注项目经验丰富,可为人员提供标准化、体系化的培训。

淘丁集团:车企如何保护用户数据安全?插图7

淘丁集团专注于互联网内容安全和数据标注业务领域,拥有千人专业团队,经验丰富,准确率高,服务类别多,团队体系成熟,能快速响应大量业务需求。