12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方App发布了一封《关于数据安全事件的声明》。这封关于蔚来数据安全的声明在业内引发了轩然大波,导致不少人为智能时代的信息隐私安全感到担忧。
声明内容显示,12月11日,蔚来收到一封外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币。在收到勒索邮件以后,公司已经成立专项小组进行调查,并对受到影响的用户深表道歉。
至于勒索者提到的225万美元等额比特币,蔚来表示绝不会向违法犯罪行为低头,并协同有关执法部门深入调查,依法坚决打击有关数据窃取、买卖行为。值得一提的是,勒索者对于蔚来强硬的应对之策倒颇有些愤愤不平的意思。
一张流传于网络的图片显示,有人宣称破解了蔚来大量数据,并明码标价出售:“近日,我们破解了蔚来大量数据,同时给了蔚来两次机会,但蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此决定有偿曝光。”
那么,蔚来到底该不该给钱,它在此次数据泄露事件当中扮演的又是什么角色呢?
教授认为,在智能汽车时代,车企数据被窃存在一定的必然性。据统计,一辆智能网联汽车每天会产生大约10TB的数据,驾乘人员的出行轨迹、驾乘习惯以及车内语音图像等个人信息都随时面临着被泄露出去的风险。
要知道,在数据为王的大数据时代,每一组数据都是一笔财富。马克思曾经说过:“如果资本有百分之五十的利润,它就铤而走险;为了百分之一百的利润,它就敢践踏一切人间法律;有百分之三百的利润;它就敢犯下任何罪行……”
以蔚来这次泄露的数据为例,它的内部员工数据、车主用户身份证数据、用户地址、蔚来注册用户数据,甚至还有车主亲密关系等数据,都在网上以0.1-0.25比特币的价格明码标价。对蔚来这个被它攻击的对象,它甚至直接勒索225万美元等额比特币。
蔚来用户的数据被盗,该不该花钱把用户的数据买回来?如果我们这样去想问题的话,反而容易把事情想复杂了,我们大可以将问题简化一点:被勒索了,该不该给钱?如果你这么问,那么任何一个警察叔叔或者律师都会给你一个高度一致的答案:这个钱不能给!
教授不想在这里摆太多高大上而又枯燥的法律条文,也不想为被迫泄露用户数据的蔚来洗白,只想以旁观者的角度,跟大家聊聊我个人对这群违法犯罪分子的浅薄理解。
蔚来不给钱肯定是对的。诚信是我们生而为人的基本准则,但我们却不能要求盗取数据的犯罪分子也具备说到做到的诚信。因此,给了钱也不一定能把数据买回来,反而极有可能助长犯罪分子的气焰,导致此类事件层出不穷。
勒索其实是诈骗的关键环节,而诈骗从来就不是给钱就能了事的。如果你一开始就给了钱,那么那帮诈骗犯只会以各种理由要更多的钱,直到你忍无可忍或者彻底崩溃。因此,教授认为,面对实施勒索、诈骗的犯罪分子,我们绝对不能妥协。
蔚来作为服务提供商,虽然它也是这次数据被窃事件的受害者,但它既然收集了用户的数据,就有必要保护好用户的隐私安全。因此,蔚来在此次事件中最大的责任就是收集了大量用户数据,却没尽到确保用户数据安全的责任。
值得一提的是,随着智能汽车采集的数据越来越多,近两年遭遇黑客窃取数据的车企也越来越多,没能守护确保用户数据安全的也并非只有蔚来一家。
大众汽车早在去年6月份就曾表示,有将近330万名客户或潜在买家的数据遭泄露,具体包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。
今年5月,通用汽车发布声明称,其注意到部分在线客户账户在2022年4月11日-4月29日期间出现了可疑登录,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。
今年10月,丰田汽车在一份声明中表示,使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等。
说实话,车企每一次泄露信息,都会让教授对智能汽车感到更加失望。教授本人就几乎每天都在被信息安全所困扰,在这个信息高度透明的时代,教授手机里的部分骚扰信息甚至能够精确到具体的姓名。
另一方面,如果车企的数据真的是以“姓名、地址、手机号码……”这种形式被泄露出去的,每一项数据都能相互关联得上,那么我们是不是可以理解为它们在收集我们的数据时几乎没有做任何脱敏处理呢?
在教授看来,包括蔚来在内,接下来车企们要做的就是进一步维护用户的隐私安全。如果数据被黑客窃取这样的事情只发生一次,那我们还可以理解为一场意外,但如果同样的事情重复发生,那可就成了足以造成恐慌的丑闻了。
不可否认,智能化、网联化是汽车新四化的主要发展方向。然而,智能化、网联化的前提就是车企获取用户信息的前提是得到用户认可,并且确保用户的隐私安全。如果智能化、网联化需要以用户的隐私透明化为代价,那么这样的智能汽车不要也罢!