摘要: 晚上,游侠看到一则新闻,说蔚来汽车数据泄露,被勒索225万美元!这是多少呢?我根据今天的汇率,看了下:好家伙!1567.8万人民币! 这肯定是2022年国内数据安全方面最劲爆的消息之一了,并且已经得到了蔚来汽车方面的确认。蔚来声明如下:划从声明我们可以...
晚上,游侠看到一则新闻,说蔚来汽车数据泄露,被勒索225万美元!这是多少呢?我根据今天的汇率,看了下:
好家伙!1567.8万人民币!
这肯定是2022年国内数据安全方面最劲爆的消息之一了,并且已经得到了蔚来汽车方面的确认。蔚来声明如下:
划从声明我们可以看出,主要这么几点:
1、我们收到了邮件勒索
2、对方开价225万美元
3、成立了专项小组调查
4、已经在第一时间向监管部门汇报
5、数据是2021年8月之前的
6、数据是用户基本信息和车辆销售信息
7、深表歉意,并承担责任
8、盗取、买卖数据违法
9、蔚来绝不向网络犯罪低头
10、已排查
11、未来将加大网络安全防护
下面,我们来看看,数据盗取者那边的情况,他们也“义愤填膺”的在黑市论坛上发了帖子,并说:“给了蔚来两次机会,但是蔚来宁愿……也不……因此……”,哎,明明是自己盗取数据在先、勒索金钱在后,居然还显得自己是个受害者……
但是,从上面的10条来看,是不是和蔚来汽车说的有些偏差?蔚来说的是“用户基本信息和车辆销售信息”,但上面说的似乎——更多一些。
——我没有这个数据,所以我无法证实真伪,请大家自行判断。
微博的 ID_韩潮 说的好啊:“最后居然站在道德制高点上指责蔚来不愿意保护车主和用户隐私”……
目前,没有更详细的消息说明勒索者是如何拿到这些数据的,但是其说明是“我们破解了蔚来大量数据”,所以……弱口令?接口?都是猜测。
相信,蔚来也在数据安全、网络安全、个人信息保护方面做了很多努力:
并且,蔚来也是有自己的“NIO未来安全应急响应中心”的,对汽车安全也是有投入、有实际动作的:
但是,网络安全真的是哪怕你做了大量工作,也是百密一疏……
我们温习下《数据安全法》:
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
按照这一条,蔚来今天已经成立了工作组、做了网络安全检查,并第一时间上报了主管部门。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
蔚来自己有SRC,也有相关新闻报道其关注数据安全,所以这一条应该也是满足的(我猜的)。
这次实际上不牵扯到车联网安全,不影响车本身,只是传统网络安全、数据安全的范畴。虽然蔚来前期也做了不少工作,但也依然被攻击、被勒索,这足以说明:网络安全工作需得小心翼翼、持续优化。
版权所有:游侠安全网(https://www.youxia.org)