据美国有线电视新闻网(CNN Business)8月19日报道,特斯拉此前发生的大规模数据泄露事件,泄露了超过7.5万人的个人信息,这是“内部不法行为”的结果。
特斯拉在发给员工的通知中表示,被泄露的“特斯拉文件”包含100GB的机密数据,包括员工的姓名、地址、手机号码和电子邮件地址等信息。该通知已与缅因州总检察长办公室共享。泄露的数据还包括大约2400起关于特斯拉突然加速的客户投诉,以及另外1500起关于刹车问题的投诉。
今年5月,《德国商报》报道称,特斯拉未能充分保护客户、员工和业务合作伙伴的数据而造成泄露,并收到了数千份关于该公司驾驶员辅助系统的客户投诉。被泄露的信息数据量多达100G,这些数据包括超过10万个离职和在职员工信息,甚至包含特斯拉CEO马斯克的社保号码。
而特斯拉通过调查发现,这些信息是被公司的两名前员工违规获得并泄露给媒体的,有超过7.5万人在这次事件中被影响。特斯拉还称,公司已经对这两名前员工提起诉讼,并会致力于保护好个人信息。
2023年7月,研究机构Upstream发布《2023上半年汽车领域网络趋势报告》(H1'2023 Automotive Cyber Trend Report)。由于更多的车载组件由软件启用和管理,导致了新的漏洞不断出现。而这些漏洞为威胁行为者提供获取消费者和制造商敏感数据、访问车辆控制装置,甚至是盗窃车辆的新攻击方法。
该报告聚焦2023上半年汽车行业的网络安全威胁和发展趋势。根据对2010-2023年间近1300起汽车网络安全事件的分析发现,其中30%的事件包括潜在的数据泄露影响,目标是原始设备制造商和其他汽车利益相关者。2023年上半年,汽车行业的数据泄露事件呈上升趋势,占汽车安全事件总数的37%。
数据隐私的泄露给原始设备制造商和消费者都带来了巨大风险:
- 客户数据隐私——软件定义汽车(Software-defined vehicle,SDV)收集大量敏感的客户数据,包括个人身份信息 (PII)、账单信息、位置数据等,并受各种数据保护法规(如GDPR和CCPA)的约束。数据泄露可能导致客户身份被盗、财务欺诈和巨额监管罚款(GDPR中规定的罚款最高可达收入的4%)。
- 知识产权 (IP) 被盗——对知识产权(如源代码或基础设施架构)的入侵会导致假冒产品、收入损失,还能发现车辆和企业后台系统的漏洞。
- 车辆安全和盗窃——SDV数据比以往任何时候都更加详细。被泄露的客户和原始设备制造商数据可在深网和暗网上出售,并被用于开发盗窃车辆的工具,影响车辆的安全。
- 品牌声誉和信任——数据泄露会损害原始设备制造商的声誉,削弱客户的信任,甚至引起法律诉讼,并对销售和市场份额造成负面影响。
2022年12月,蔚来汽车出现泄露事件,泄露的数据包括:客户隐私、员工数据、订单数据、车主身份证、用户地址、车主紧急联系人、车主贷款数据等隐私信息。
针对数据泄露事件,蔚来汽车在2022年12月发布一份声明,确认在2021年8月之前部分用户基本信息和车辆销售信息被窃取,并对此表示歉意。蔚来汽车的创始人、董事长和首席执行官李斌也在社交媒体上公开发表了道歉声明,承诺为由数据泄露事件引发的用户损失承担责任。
针对汽车企业数据泄露的风险,2021年8月,我国工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,明确要求企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
参考链接:
[1]https://www.cnn.com/2023/08/19/business/tesla-data-breach-employee-personal-info/index.html
[2]https://upstream.auto/reports/h1-2023-automotive-cyber-trend-report/
[3]https://app.nio.com/app/web/v2/share_comment?id=2284166&type=essay
[4]https://www.gov.cn/zhengce/zhengceku/2021-08/12/content_5630912.htm