安全動(dòng)態(tài)

特斯拉廢棄零件存泄密隱患,誰(shuí)為用戶數(shù)據(jù)泄露埋單?

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-06-15    瀏覽次數(shù):
 

信息來(lái)源:中國(guó)經(jīng)濟(jì)網(wǎng)

特斯拉的車載信息娛樂(lè)服務(wù)讓用戶享受非常便捷舒適的乘車環(huán)境。然而,在使用特斯拉車載信息娛樂(lè)服務(wù)前,用戶必須輸入詳細(xì)的個(gè)人信息,存儲(chǔ)這些信息的媒體控制單元(MCU)或許正在成為用戶隱私數(shù)據(jù)泄露的源頭。

日前,有消息稱,國(guó)外黑客格林發(fā)現(xiàn),盡管這些廢棄的媒體控制單元已經(jīng)被特斯拉技術(shù)人員手工銷毀,但仍然留有用戶大量隱私數(shù)據(jù),包括手機(jī)通訊錄、通話記錄、日歷項(xiàng)目、WiFi密碼、家庭住址、導(dǎo)航去過(guò)的地點(diǎn)等。上述媒體控制單元可在國(guó)外交易網(wǎng)站eBay上進(jìn)行交易,且價(jià)格并不昂貴。根據(jù)上面遺留的用戶信息,黑客能夠輕松獲取到用戶的個(gè)人信息。

多款車型疑似數(shù)據(jù)泄露

格林說(shuō):“這些構(gòu)件在eBay上的價(jià)格從150美元、200美元到300美元、500多美元不等,越來(lái)越多的人開(kāi)始購(gòu)買它們進(jìn)行研究。由于需要專業(yè)知識(shí),其中一些人或機(jī)構(gòu)開(kāi)始求助于我和其他‘黑客’,幫助他們提取數(shù)據(jù),進(jìn)行研究。我開(kāi)始意識(shí)到數(shù)據(jù)泄露的問(wèn)題,并在eBay上購(gòu)買一個(gè)零件,證實(shí)了猜想?!?

據(jù)格林透露,他購(gòu)買的所有硬件,都存儲(chǔ)有用戶的家庭和工作地址、來(lái)自手機(jī)的WiFi密碼、日程表、通話記錄、通訊錄、Netflix(奈飛)等信息使用情況等。Netflix的信息記錄程序,使得“黑客”能控制這些賬戶流媒體網(wǎng)站的密碼,并以明文形式儲(chǔ)存。

據(jù)外媒報(bào)道,特斯拉服務(wù)中心清除舊計(jì)算機(jī)時(shí),技術(shù)人員被告知要把被替換的計(jì)算機(jī)扔掉,或者在它報(bào)廢之前進(jìn)行損壞。特斯拉官方程序的要求是,在將拆下的媒體控制單元扔進(jìn)垃圾桶之前,工作人員需要確認(rèn)接口是否被徹底毀壞。但是,用錘子敲擊后的計(jì)算機(jī)外殼被損壞,內(nèi)部的數(shù)據(jù)卻未被破壞,依然能夠在線上出售。

關(guān)于替換下來(lái)的特斯拉部件在網(wǎng)上銷售的原因,當(dāng)前有兩種解釋:一種解釋是服務(wù)中心對(duì)替換下來(lái)的部件沒(méi)有按規(guī)定進(jìn)行破壞;另外一種解釋是技術(shù)人員通過(guò)出售這些零部件牟利。在eBay上檢索的結(jié)果顯示,接口被損壞的媒體控制單元賣價(jià)要低于未被損壞的單元。業(yè)內(nèi)人士猜測(cè),正是價(jià)格因素造成了某些工作人員可能并未按照官方規(guī)定對(duì)廢棄媒體控制單元進(jìn)行統(tǒng)一銷毀。

事實(shí)上,對(duì)于不同的車型,媒體控制單元更換的頻率也不同,Model S和Model X的媒體控制單元就需要經(jīng)常更換,因?yàn)榈谝淮悴考嬖谶^(guò)度記錄的問(wèn)題,使用四五年后就會(huì)出現(xiàn)故障,用戶提出申請(qǐng)后,特斯拉使用第二代媒體控制單元進(jìn)行更換升級(jí)。這兩代媒體控制單元都涉及到此次數(shù)據(jù)泄露問(wèn)題。

此外,購(gòu)買了完全自動(dòng)駕駛(FSD)套件的Model 3車主,如果想要升級(jí)系統(tǒng),同樣需要更換媒體控制單元,車主的個(gè)人數(shù)據(jù)也存在泄露風(fēng)險(xiǎn)。特斯拉還沒(méi)有對(duì)此事做出回應(yīng)。

技術(shù)與管理手段相結(jié)合

新能源汽車行業(yè)獨(dú)立研究者曹廣平告訴《中國(guó)汽車報(bào)》記者,隨著汽車智能化、網(wǎng)聯(lián)化技術(shù)快速深入發(fā)展,汽車內(nèi)車機(jī)、控制器甚至是車外未來(lái)的基礎(chǔ)設(shè)施以及云端內(nèi)個(gè)人隱私的數(shù)據(jù)會(huì)日益龐大,數(shù)據(jù)種類也會(huì)越來(lái)越多。

從個(gè)人基本信息到指紋聲紋、長(zhǎng)相,從個(gè)人駕駛習(xí)慣中踩剎車的力度到經(jīng)常??康牡攸c(diǎn)坐標(biāo)和軌跡,從車上點(diǎn)餐的口味到乘員駕車習(xí)慣、是否暈車以及各種健康指標(biāo)等會(huì)“應(yīng)有盡有”,并且在車輛與用戶的粘性中的作用越來(lái)越大,線上以及線下、車內(nèi)以及車外的邊界正在消失。

這些數(shù)據(jù)帶給我們安全駕駛以及出行便利的同時(shí),隱私泄露的風(fēng)險(xiǎn)也在加大。這些在使用汽車時(shí)產(chǎn)生的隱私數(shù)據(jù)與使用手機(jī)或電腦等終端時(shí)的情況基本相同,但是又有數(shù)據(jù)量更大、更接近真實(shí)場(chǎng)景、移動(dòng)范圍更大的特點(diǎn),部分?jǐn)?shù)據(jù)還關(guān)系到行車安全等車輛的特有功能、性能方面。

曹廣平認(rèn)為,從技術(shù)方面杜絕此類個(gè)人信息泄露現(xiàn)象,可以在車上的個(gè)人信息輸入界面采取多種保護(hù)手段。一方面,在車上硬件進(jìn)行上電、啟動(dòng)、運(yùn)行、中斷運(yùn)行、停止運(yùn)行時(shí)的脫敏、加密、脫密等設(shè)置;另一方面,采用車上的軟件進(jìn)行隱私計(jì)算,即在數(shù)據(jù)歸集、分析、使用、清洗過(guò)程中進(jìn)行自動(dòng)防護(hù)。

上述軟硬兩方面的防護(hù)措施還要與云端、汽車企業(yè)等后臺(tái)的防護(hù)相結(jié)合,將隱私防護(hù)手段進(jìn)行長(zhǎng)期研究和協(xié)同努力。另外,技術(shù)防護(hù)手段也應(yīng)與標(biāo)準(zhǔn)、法律、法規(guī)協(xié)調(diào)發(fā)展,即技術(shù)手段與管理手段相結(jié)合。

隨著汽車越來(lái)越智能,隱私泄露的風(fēng)險(xiǎn)也在加大,但曹廣平認(rèn)為,防隱私泄露的手段也會(huì)同步發(fā)展。當(dāng)前,汽車企業(yè)處理廢棄組件中隱私數(shù)據(jù)的手段還在不斷完善,國(guó)內(nèi)已有公司開(kāi)始關(guān)注這一產(chǎn)業(yè),比如采用非對(duì)稱加密、去中心化且不可篡改的區(qū)塊鏈技術(shù),就為解決這一問(wèn)題提供了技術(shù)基礎(chǔ)。

區(qū)塊鏈技術(shù)與車聯(lián)網(wǎng)領(lǐng)域相結(jié)合,可用于管理和登記車輛,將車輛數(shù)據(jù)的所有權(quán)回歸用戶,有利于建立可信任、安全、透明和高效流通的汽車生態(tài)體系。當(dāng)前,車輪智能網(wǎng)聯(lián)研究院基于1.4億位車主完成并發(fā)布了Carro.io開(kāi)源區(qū)塊鏈專項(xiàng),引領(lǐng)車聯(lián)網(wǎng)行業(yè)向區(qū)塊鏈技術(shù)轉(zhuǎn)移;同時(shí)和數(shù)據(jù)安全平臺(tái)Ucloud共同建立了數(shù)據(jù)加密的動(dòng)態(tài)ID標(biāo)準(zhǔn)。

“這些新的方向,從源頭上有助于解決數(shù)據(jù)隱私泄露問(wèn)題,再結(jié)合其他管理手段,相信會(huì)給車輛數(shù)據(jù)行業(yè)帶來(lái)一定的改觀?!辈軓V平說(shuō)。

    信息安全漏洞是質(zhì)量缺陷

從法律角度來(lái)說(shuō),上海匯筠律師事務(wù)所合伙人胡郁舒律師認(rèn)為,此類車輛中的計(jì)算機(jī)記錄的個(gè)人信息反映了公民的基本個(gè)人信息,是國(guó)家刑法保護(hù)的公民個(gè)人信息。汽車企業(yè)在其車載計(jì)算機(jī)中搜集的公民個(gè)人信息,應(yīng)當(dāng)遵守全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《信息安全技術(shù)-個(gè)人信息安全規(guī)范》第6條“個(gè)人信息的儲(chǔ)存”第6.1款“個(gè)人信息儲(chǔ)存時(shí)間最小化”的要求,對(duì)于車載計(jì)算機(jī)存儲(chǔ)的個(gè)人信息的存儲(chǔ)期限,應(yīng)為個(gè)人信息主體授權(quán)使用所必需的最短時(shí)間;超出上述個(gè)人信息存儲(chǔ)期限后,應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。

對(duì)于車輛進(jìn)行二手交易時(shí)涉及的個(gè)人信息泄露問(wèn)題,汽車企業(yè)應(yīng)當(dāng)對(duì)車載計(jì)算機(jī)進(jìn)行升級(jí)改造,完善車載計(jì)算機(jī)的個(gè)人登錄設(shè)置,在車輛使用人或所有人變更時(shí),計(jì)算機(jī)自動(dòng)對(duì)于原車主的個(gè)人信息及時(shí)進(jìn)行刪除或匿名化處理,以免泄露公民個(gè)人信息;同時(shí),建立完整的計(jì)算機(jī)內(nèi)部系統(tǒng)信息的消除系統(tǒng),對(duì)被清除的舊計(jì)算機(jī),應(yīng)當(dāng)對(duì)個(gè)人信息做好匿名化處理或刪除處理,避免相關(guān)個(gè)人信息泄露。

國(guó)家新能源汽車技術(shù)創(chuàng)新中心總經(jīng)理原誠(chéng)寅認(rèn)為,特斯拉用戶數(shù)據(jù)疑似泄露事件,給汽車行業(yè)帶來(lái)諸多啟示。首先,在智能汽車時(shí)代,車輛信息安全至關(guān)重要,涉及個(gè)人隱私,也涉及財(cái)產(chǎn)安全。需要明確的一點(diǎn)是:信息安全漏洞屬于質(zhì)量缺陷,一旦用戶數(shù)據(jù)泄露或給用戶造成損失,汽車企業(yè)同樣要承擔(dān)責(zé)任,并第一時(shí)間修復(fù)或召回。

其次,隨著電子詐騙、黑客攻擊行為越來(lái)越多,用戶對(duì)車輛采集的個(gè)人數(shù)據(jù)的安全也會(huì)提出越來(lái)越高的要求。汽車企業(yè)務(wù)必投入更多精力來(lái)培養(yǎng)自己的信息安全能力,其中也包括遠(yuǎn)程端的服務(wù)能力。原誠(chéng)寅還判斷:未來(lái)在汽車產(chǎn)業(yè)鏈中一定會(huì)出現(xiàn)獨(dú)立的第三方安全評(píng)測(cè)機(jī)構(gòu),成為整個(gè)行業(yè)的信息安全服務(wù)商和評(píng)測(cè)商;同時(shí),要進(jìn)一步完善從數(shù)據(jù)產(chǎn)生、使用到銷毀全過(guò)程的一系列標(biāo)準(zhǔn)規(guī)范,甚至建立相應(yīng)的法律法規(guī)進(jìn)行監(jiān)督。

曹廣平也持相同觀點(diǎn)。他認(rèn)為,汽車企業(yè)在重視硬件研發(fā)的同時(shí),應(yīng)該更加注重軟件和數(shù)據(jù)層面等技術(shù)形式帶來(lái)的新變化。未來(lái)是“軟件定義汽車”,更是“數(shù)據(jù)驅(qū)動(dòng)用戶”,在汽車企業(yè)之間的競(jìng)爭(zhēng)中,比拼的就是誰(shuí)能吸引用戶。尊重用戶數(shù)據(jù)就是尊重用戶的重要部分,也是留住用戶的手段之一。

 
 

上一篇:2020年06月12日 聚銘安全速遞

下一篇:警惕!收到此類郵件謹(jǐn)慎打開(kāi),可能是病毒攻擊