搜索
信網手機版移動繼續看新聞

特斯拉廢棄零件存泄密隱患 誰為用戶數據泄露埋單?

2020-06-15 09:38:18
來源:中國汽車報網
責任編輯:三人目

原標題:特斯拉廢棄零件存泄密隱患,誰為用戶數據泄露埋單?

特斯拉的車載信息娛樂服務讓用戶享受非常便捷舒適的乘車環境。然而,在使用特斯拉車載信息娛樂服務前,用戶必須輸入詳細的個人信息,存儲這些信息的媒體控制單元(MCU)或許正在成為用戶隱私數據泄露的源頭。

日前,有消息稱,國外黑客格林發現,盡管這些廢棄的媒體控制單元已經被特斯拉技術人員手工銷毀,但仍然留有用戶大量隱私數據,包括手機通訊錄、通話記錄、日歷項目、WiFi密碼、家庭住址、導航去過的地點等。上述媒體控制單元可在國外交易網站eBay上進行交易,且價格并不昂貴。根據上面遺留的用戶信息,黑客能夠輕松獲取到用戶的個人信息。

多款車型疑似數據泄露

格林說:“這些構件在eBay上的價格從150美元、200美元到300美元、500多美元不等,越來越多的人開始購買它們進行研究。由于需要專業知識,其中一些人或機構開始求助于我和其他‘黑客’,幫助他們提取數據,進行研究。我開始意識到數據泄露的問題,并在eBay上購買一個零件,證實了猜想。”

據格林透露,他購買的所有硬件,都存儲有用戶的家庭和工作地址、來自手機的WiFi密碼、日程表、通話記錄、通訊錄、Netflix(奈飛)等信息使用情況等。Netflix的信息記錄程序,使得“黑客”能控制這些賬戶流媒體網站的密碼,并以明文形式儲存。

據外媒報道,特斯拉服務中心清除舊計算機時,技術人員被告知要把被替換的計算機扔掉,或者在它報廢之前進行損壞。特斯拉官方程序的要求是,在將拆下的媒體控制單元扔進垃圾桶之前,工作人員需要確認接口是否被徹底毀壞。但是,用錘子敲擊后的計算機外殼被損壞,內部的數據卻未被破壞,依然能夠在線上出售。

關于替換下來的特斯拉部件在網上銷售的原因,當前有兩種解釋:一種解釋是服務中心對替換下來的部件沒有按規定進行破壞;另外一種解釋是技術人員通過出售這些零部件牟利。在eBay上檢索的結果顯示,接口被損壞的媒體控制單元賣價要低于未被損壞的單元。業內人士猜測,正是價格因素造成了某些工作人員可能并未按照官方規定對廢棄媒體控制單元進行統一銷毀。

事實上,對于不同的車型,媒體控制單元更換的頻率也不同,Model S和Model X的媒體控制單元就需要經常更換,因為第一代零部件存在過度記錄的問題,使用四五年后就會出現故障,用戶提出申請后,特斯拉使用第二代媒體控制單元進行更換升級。這兩代媒體控制單元都涉及到此次數據泄露問題。

此外,購買了完全自動駕駛(FSD)套件的Model 3車主,如果想要升級系統,同樣需要更換媒體控制單元,車主的個人數據也存在泄露風險。特斯拉還沒有對此事做出回應。

技術與管理手段相結合

新能源汽車行業獨立研究者曹廣平告訴《中國汽車報》記者,隨著汽車智能化、網聯化技術快速深入發展,汽車內車機、控制器甚至是車外未來的基礎設施以及云端內個人隱私的數據會日益龐大,數據種類也會越來越多。

從個人基本信息到指紋聲紋、長相,從個人駕駛習慣中踩剎車的力度到經常??康牡攸c坐標和軌跡,從車上點餐的口味到乘員駕車習慣、是否暈車以及各種健康指標等會“應有盡有”,并且在車輛與用戶的粘性中的作用越來越大,線上以及線下、車內以及車外的邊界正在消失。

這些數據帶給我們安全駕駛以及出行便利的同時,隱私泄露的風險也在加大。這些在使用汽車時產生的隱私數據與使用手機或電腦等終端時的情況基本相同,但是又有數據量更大、更接近真實場景、移動范圍更大的特點,部分數據還關系到行車安全等車輛的特有功能、性能方面。

曹廣平認為,從技術方面杜絕此類個人信息泄露現象,可以在車上的個人信息輸入界面采取多種保護手段。一方面,在車上硬件進行上電、啟動、運行、中斷運行、停止運行時的脫敏、加密、脫密等設置;另一方面,采用車上的軟件進行隱私計算,即在數據歸集、分析、使用、清洗過程中進行自動防護。

上述軟硬兩方面的防護措施還要與云端、汽車企業等后臺的防護相結合,將隱私防護手段進行長期研究和協同努力。另外,技術防護手段也應與標準、法律、法規協調發展,即技術手段與管理手段相結合。

隨著汽車越來越智能,隱私泄露的風險也在加大,但曹廣平認為,防隱私泄露的手段也會同步發展。當前,汽車企業處理廢棄組件中隱私數據的手段還在不斷完善,國內已有公司開始關注這一產業,比如采用非對稱加密、去中心化且不可篡改的區塊鏈技術,就為解決這一問題提供了技術基礎。

區塊鏈技術與車聯網領域相結合,可用于管理和登記車輛,將車輛數據的所有權回歸用戶,有利于建立可信任、安全、透明和高效流通的汽車生態體系。當前,車輪智能網聯研究院基于1.4億位車主完成并發布了Carro.io開源區塊鏈專項,引領車聯網行業向區塊鏈技術轉移;同時和數據安全平臺Ucloud共同建立了數據加密的動態ID標準。

“這些新的方向,從源頭上有助于解決數據隱私泄露問題,再結合其他管理手段,相信會給車輛數據行業帶來一定的改觀。”曹廣平說。

信息安全漏洞是質量缺陷

從法律角度來說,上海匯筠律師事務所合伙人胡郁舒律師認為,此類車輛中的計算機記錄的個人信息反映了公民的基本個人信息,是國家刑法保護的公民個人信息。汽車企業在其車載計算機中搜集的公民個人信息,應當遵守全國信息安全標準化技術委員會發布的《信息安全技術-個人信息安全規范》第6條“個人信息的儲存”第6.1款“個人信息儲存時間最小化”的要求,對于車載計算機存儲的個人信息的存儲期限,應為個人信息主體授權使用所必需的最短時間;超出上述個人信息存儲期限后,應對個人信息進行刪除或匿名化處理。

對于車輛進行二手交易時涉及的個人信息泄露問題,汽車企業應當對車載計算機進行升級改造,完善車載計算機的個人登錄設置,在車輛使用人或所有人變更時,計算機自動對于原車主的個人信息及時進行刪除或匿名化處理,以免泄露公民個人信息;同時,建立完整的計算機內部系統信息的消除系統,對被清除的舊計算機,應當對個人信息做好匿名化處理或刪除處理,避免相關個人信息泄露。

國家新能源汽車技術創新中心總經理原誠寅認為,特斯拉用戶數據疑似泄露事件,給汽車行業帶來諸多啟示。首先,在智能汽車時代,車輛信息安全至關重要,涉及個人隱私,也涉及財產安全。需要明確的一點是:信息安全漏洞屬于質量缺陷,一旦用戶數據泄露或給用戶造成損失,汽車企業同樣要承擔責任,并第一時間修復或召回。

其次,隨著電子詐騙、黑客攻擊行為越來越多,用戶對車輛采集的個人數據的安全也會提出越來越高的要求。汽車企業務必投入更多精力來培養自己的信息安全能力,其中也包括遠程端的服務能力。原誠寅還判斷:未來在汽車產業鏈中一定會出現獨立的第三方安全評測機構,成為整個行業的信息安全服務商和評測商;同時,要進一步完善從數據產生、使用到銷毀全過程的一系列標準規范,甚至建立相應的法律法規進行監督。

曹廣平也持相同觀點。他認為,汽車企業在重視硬件研發的同時,應該更加注重軟件和數據層面等技術形式帶來的新變化。未來是“軟件定義汽車”,更是“數據驅動用戶”,在汽車企業之間的競爭中,比拼的就是誰能吸引用戶。尊重用戶數據就是尊重用戶的重要部分,也是留住用戶的手段之一。(中國汽車報網 郝文麗)

[來源:中國汽車報網 編輯:三人目]
精彩美圖 更多 >>

分享到

青島話題 更多 >>

深度報道 更多 >>

大家愛看

信網手機版

信網小程序

青島網上辟謠平臺

信法網

Copyright ? 2020 信網. All Rights Reserved 魯ICP備14028146號 新聞采編許可證:37120180021 魯公網安備:37020202000005號
手機版 | 媒體資源 | 信網傳播力 | 關于信網 | 廣告服務 | 人才招聘 | 聯系我們 | 版權聲明| 違法和不良信息舉報
福彩29选7开奖结果 地平线4环岛赛是哪个 福彩刮刮乐的秘密 汇丰鸿利配资 河北20选走势图 大庆微乐龙江麻将 三全中赔多少钱 腾讯麻将来了下载 吉林十一选五计划 在线股票大盘走势图 秒速时时彩走势图软件