2022年12月20日,一则“蔚来数据泄露”的消息在网安圈内快速传播,在网友在互联网上发帖称,有人获取了蔚来汽车大量的数据,其中包括蔚来内部员工数据22800条、车主用户身份证数据399000条。一时间引起众多业界人士的广泛讨论。
针对这一消息,12月20日下午,蔚来汽车发布了一则“关于数据安全事件的声明”,称蔚来公司收到外部勒索邮件,对此表示拥有蔚来内部数据,并以数据泄露勒索225万美元的比特币。经过蔚来汽车内部初步的调查,承认被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息。
关于此次数据泄露事件,蔚来汽车向对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任,并协调执法机关深入调查。同时,蔚来表示,已对公司网络信息安全进行排查和强化,后续将加强技术力量,提升信息系统的安全防护能力,充分保护用户信息安全。
完整声明如下图所示:
员工和车主信息泄露难以避免
截止到目前,暂时不清楚蔚来汽车员工和车主的具体数据泄露量是多少,以及泄露的数据类型有哪些。但蔚来汽车能够及时发布公开声明,让员工和车主知晓此次数据泄露事件的做法,得到不少业界人士的肯定,同时希望蔚来可以真正落实声明中的承诺,对存在数据泄露的车主和员工负起相应的责任。
作为新能源汽车头部品牌,蔚来汽车的交付量处于行业前列。从第三方公开平台查询的信息显示,蔚来汽车在2021年 1~7 月累计交付 49887 台,2020 年全年交付量达 43728 台,2019 年全年交付量达 20565 台,2018 年全年交付量达 11348 台。
从蔚来公司发布的声明可以得知,蔚来将联合执法机构共同处理,因此不会支付这部分赎金,那么上述被窃取的信息很有可能会在暗网上打包售卖或公开。
网传蔚来汽车泄露的信息已经在被勒索组织“拆分零售”,具体包括车主身份证号码、车主地址信息、注册用户数据、贷款数据等,价格在0.1-0.25个比特币,全部打包价格为1个比特币。
这也就意味着将有十余万的车主和员工处于个人数据泄露的风险之中。在接下来的一段时间内,他们及其亲属也将有可能面临的垃圾短信、营销电话、网络邮件钓鱼、电信诈骗等事件,用户应提高警惕,保护好个人财产安全。
蔚来汽车是否会被监管处罚?
“出现如此严重的数据泄露事件,蔚来汽车是否会监管处罚”也是业界十分关注的重点。
由于不清楚蔚来公司在合规方面的现状,因此安全专家也无法判断,蔚来是否要被监管处罚,以及具体的处罚措施。但近年来,我国陆续出台了《网络安全法》《数据安全法》《个人信息保护法》等重磅法律,对于企业数据泄露方面的执法和处罚有明确的规定,可以以此事件为例进行分析。一家之言,仅供各位读者参考。
对于数据泄露事件,三部法律均明文规定,应依法向监管部门报告,也就是我们所说的履行上报义务。例如《网络安全法》第五十一条明确规定国家建立网络安全监测预警和信息通报制度。如果企业试图掩盖事件而没有上报,那么将遭遇十分严重的处罚。从蔚来公司的公告中,大致可以猜测“蔚来履行了报告的义务”,这里不至于被监管严重处罚。
同时,目前针对各类网络安全事件,目前实行的一般是“一案双查”制度,在对网络安全犯罪案件进行侦破的同时,也会启动对涉事企业是否满足合规要求进行调查。
需要注意的是,在企业网络安全体系建设过程中,有没有满足合规要求,将面临监管部门两种截然不同的处罚力度。如果企业没有履行网络安全和数据安全义务,发生了数据泄露事件之后,不仅企业需承担各项损失,遭受监管部门严厉的行政处罚,网络安全负责人以及数据泄露事件相关责任人也有可能因此受到处罚。
数据泄露事件发生后,企业是否及时进行补救,对于数据泄露的严重程度进行调查,排查内部网络安全流程等,都是监管开具行政处罚的参考项。
换句话说,如果企业满足监管要求,各项动作都在规则之内,那么即便打板子也会轻一些,反之,板子就会越来越重。仅从现有的信息来看,蔚来被打板子的概率会小一些。
加强安全已经刻不容缓
安全事件出现的频率越来越高已经成为全球的共识。根据 Identity Theft Resource Center 发布的《2021 Data Breach Report》,在过去一年中共发生了 1862 起数据泄露事件,刷新了 2020 年和 2017 年的较高记录。
而身处数字化转型浪潮之中的制造业将会面临更加严峻的风险。随着制造业转型自动化和智能化,企业面临最直观的问题是数据体量指数级增加,以及传统的IT基础设施趋于多样化,都将大大增加数据安全的风险。
可以预见的是,未来数据的体量将继续增加,IT基础设施多样化更加明显,而攻击者的手段也将更加具有威胁性。对于企业来说,是否在网络安全体系建设方面拥有长远的规划,让安全能力随着企业的发展而不断成长,是一个必须要思考的问题。
文章来自:https://www.freebuf.com/