分类:知识大全时间:2023-05-27 19:09作者:未知编辑:猜谜语
特斯拉的车载信息娱乐服务让用户享受非常便捷舒适的乘车环境。然而,在使用特斯拉车载信息娱乐服务前,用户必须输入详细的个人信息,存储这些信息的媒体控制单元(MCU)或许正在成为用户隐私数据泄露的源头。
日前,有消息称,国外黑客格林发现,尽管这些废弃的媒体控制单元已经被特斯拉技术人员手工销毁,但仍然留有用户大量隐私数据,包括手机通讯录、通话记录、日历项目、WiFi密码、家庭住址、导航去过的地点等。上述媒体控制单元可在国外交易网站eBay上进行交易,且价格并不昂贵。根据上面遗留的用户信息,黑客能够轻松获取到用户的个人信息。
多款车型疑似数据泄露
格林说:“这些构件在eBay上的价格从150美元、200美元到300美元、500多美元不等,越来越多的人开始购买它们进行研究。由于需要专业知识,其中一些人或机构开始求助于我和其他‘黑客’,帮助他们提取数据,进行研究。我开始意识到数据泄露的问题,并在eBay上购买一个零件,证实了猜想。”
据格林透露,他购买的所有硬件,都存储有用户的家庭和工作地址、来自手机的WiFi密码、日程表、通话记录、通讯录、Netflix(奈飞)等信息使用情况等。Netflix的信息记录程序,使得“黑客”能控制这些账户流媒体网站的密码,并以明文形式储存。
据外媒报道,特斯拉服务中心清除旧计算机时,技术人员被告知要把被替换的计算机扔掉,或者在它报废之前进行损坏。特斯拉官方程序的要求是,在将拆下的媒体控制单元扔进垃圾桶之前,工作人员需要确认接口是否被彻底毁坏。但是,用锤子敲击后的计算机外壳被损坏,内部的数据却未被破坏,依然能够在线上出售。
关于替换下来的特斯拉部件在网上销售的原因,当前有两种解释:一种解释是服务中心对替换下来的部件没有按规定进行破坏;另外一种解释是技术人员通过出售这些零部件牟利。在eBay上检索的结果显示,接口被损坏的媒体控制单元卖价要低于未被损坏的单元。业内人士猜测,正是价格因素造成了某些工作人员可能并未按照官方规定对废弃媒体控制单元进行统一销毁。
事实上,对于不同的车型,媒体控制单元更换的频率也不同,Model S和Model X的媒体控制单元就需要经常更换,因为第一代零部件存在过度记录的问题,使用四五年后就会出现故障,用户提出申请后,特斯拉使用第二代媒体控制单元进行更换升级。这两代媒体控制单元都涉及到此次数据泄露问题。
此外,购买了完全自动驾驶(FSD)套件的Model 3车主,如果想要升级系统,同样需要更换媒体控制单元,车主的个人数据也存在泄露风险。特斯拉还没有对此事做出回应。
技术与管理手段相结合
新能源汽车行业独立研究者曹广平告诉《中国汽车报》记者,随着汽车智能化、网联化技术快速深入发展,汽车内车机、控制器甚至是车外未来的基础设施以及云端内个人隐私的数据会日益庞大,数据种类也会越来越多。
从个人基本信息到指纹声纹、长相,从个人驾驶习惯中踩刹车的力度到经常停靠的地点坐标和轨迹,从车上点餐的口味到乘员驾车习惯、是否晕车以及各种健康指标等会“应有尽有”,并且在车辆与用户的粘性中的作用越来越大,线上以及线下、车内以及车外的边界正在消失。
这些数据带给我们安全驾驶以及出行便利的同时,隐私泄露的风险也在加大。这些在使用汽车时产生的隐私数据与使用手机或电脑等终端时的情况基本相同,但是又有数据量更大、更接近真实场景、移动范围更大的特点,部分数据还关系到行车安全等车辆的特有功能、性能方面。
曹广平认为,从技术方面杜绝此类个人信息泄露现象,可以在车上的个人信息输入界面采取多种保护手段。一方面,在车上硬件进行上电、启动、运行、中断运行、停止运行时的脱敏、加密、脱密等设置;另一方面,采用车上的软件进行隐私计算,即在数据归集、分析、使用、清洗过程中进行自动防护。
上述软硬两方面的防护措施还要与云端、汽车企业等后台的防护相结合,将隐私防护手段进行长期研究和协同努力。另外,技术防护手段也应与标准、法律、法规协调发展,即技术手段与管理手段相结合。
随着汽车越来越智能,隐私泄露的风险也在加大,但曹广平认为,防隐私泄露的手段也会同步发展。当前,汽车企业处理废弃组件中隐私数据的手段还在不断完善,国内已有公司开始关注这一产业,比如采用非对称加密、去中心化且不可篡改的区块链技术,就为解决这一问题提供了技术基础。
区块链技术与车联网领域相结合,可用于管理和登记车辆,将车辆数据的所有权回归用户,有利于建立可信任、安全、透明和高效流通的汽车生态体系。当前,车轮智能网联研究院基于1.4亿位车主完成并发布了Carro.io开源区块链专项,引领车联网行业向区块链技术转移;同时和数据安全平台Ucloud共同建立了数据加密的动态ID标准。
“这些新的方向,从源头上有助于解决数据隐私泄露问题,再结合其他管理手段,相信会给车辆数据行业带来一定的改观。”曹广平说。
信息安全漏洞是质量缺陷
从法律角度来说,上海汇筠律师事务所合伙人胡郁舒律师认为,此类车辆中的计算机记录的个人信息反映了公民的基本个人信息,是国家刑法保护的公民个人信息。汽车企业在其车载计算机中搜集的公民个人信息,应当遵守全国信息安全标准化技术委员会发布的《信息安全技术-个人信息安全规范》第6条“个人信息的储存”第6.1款“个人信息储存时间最小化”的要求,对于车载计算机存储的个人信息的存储期限,应为个人信息主体授权使用所必需的最短时间;超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。
对于车辆进行二手交易时涉及的个人信息泄露问题,汽车企业应当对车载计算机进行升级改造,完善车载计算机的个人登录设置,在车辆使用人或所有人变更时,计算机自动对于原车主的个人信息及时进行删除或匿名化处理,以免泄露公民个人信息;同时,建立完整的计算机内部系统信息的消除系统,对被清除的旧计算机,应当对个人信息做好匿名化处理或删除处理,避免相关个人信息泄露。
国家新能源汽车技术创新中心总经理原诚寅认为,特斯拉用户数据疑似泄露事件,给汽车行业带来诸多启示。首先,在智能汽车时代,车辆信息安全至关重要,涉及个人隐私,也涉及财产安全。需要明确的一点是:信息安全漏洞属于质量缺陷,一旦用户数据泄露或给用户造成损失,汽车企业同样要承担责任,并第一时间修复或召回。
其次,随着电子诈骗、黑客攻击行为越来越多,用户对车辆采集的个人数据的安全也会提出越来越高的要求。汽车企业务必投入更多精力来培养自己的信息安全能力,其中也包括远程端的服务能力。原诚寅还判断:未来在汽车产业链中一定会出现独立的第三方安全评测机构,成为整个行业的信息安全服务商和评测商;同时,要进一步完善从数据产生、使用到销毁全过程的一系列标准规范,甚至建立相应的法律法规进行监督。
曹广平也持相同观点。他认为,汽车企业在重视硬件研发的同时,应该更加注重软件和数据层面等技术形式带来的新变化。未来是“软件定义汽车”,更是“数据驱动用户”,在汽车企业之间的竞争中,比拼的就是谁能吸引用户。尊重用户数据就是尊重用户的重要部分,也是留住用户的手段之一。(中国汽车报网 郝文丽)
[来源:中国汽车报网 编辑:三人目]
特斯拉大量数据泄露相关内容:
3·15调查 | 42%车主个人信息被泄露,“隐私买卖”成顽疾
经济观察网 记者 王帅国 在2023年“3·15”国际消费者权益日来临之际,经济观察报联合腾讯汽车联合策划推出“3·15”汽车消费调查,围绕消费者在智能、新能源时代遇到的消费痛点展开全方位调研。
此次调研收到了880位车主的反馈。经济观察网记者梳理统计后发现,在关于“购买车辆过程中是否遇到过信息泄露问题”的回答中,有41.8%的车主遭遇了“购车或办理汽车金融业务后收到关联推销信息、电话”的烦恼,有22%车主个人信息被导购平台泄露,另有17.3%的车主“在未被告知的情况下被人脸识别,个人信息被录入4S店或直营店系统”。
互联网时代,消费者的隐私成了新型的“商品”,在不同商家之间被大肆流转。目前,在各种网络平台上,只要消费者浏览了与汽车相关的内容,就有可能收到各个商家关于汽车内容的推送。究其原因,是消费者的信息被浏览过的网络平台收集,这些平台再将消费者的“浏览足迹”打包出售给商家并从中获利。
在线下,消费者的隐私信息同样无处遁形。在一些4S店中,消费者一进店就会被布置在店内的高科技人脸识别系统以及各种监控系统锁定,消费者的形象、举手投足都会被一一“记录在案”。
如果消费者在卖车网站上或者线下店内留下了自己的联系方式,那就会更加麻烦,因为接下来他将会受到大量陌生电话的“轰炸”。
“买车的时候,总会接到一些(4S店)的骚扰电话,比如自称是销售经理的,就会打电话来联系我,最多的是那个瓜子二手车(有新车销售业务)的。”一位有过多次买车经历的东风商用车车主告诉记者,这个事情确实对他的工作和生活造成了一定影响,“特别是当我忙到飞起的时候,突然进来个电话,我以为是客户,但实际上都是骚扰电话”。
另一位来自长春的本田车主也对此不胜其扰。他表示,自己在买了新车以后也“总有一些像(推销)保险之类的(电话)”,而自己却并不知道这些打电话的人是从哪里得到了自己的电话号码。
实际上,车主个人信息被泄露的事情在消费市场上长期存在。而随着汽车智能化程度的不断加深,这一问题开始变得复杂起来。
原本消费者的信息泄露多集中在购车环节,被泄露信息的种类也多为网站浏览记录、个人联系方式等,但在如今的智能汽车时代,行车数据、车主用车习惯等更多的隐私信息成为车企赖以提升车辆各种性能的基础。因此在4S店之外,一些车企也成为了利用消费者信息的新主体。
在特斯拉汽车多次出现“刹车失灵”现象、蔚来汽车数百万条车主信息遭泄露等情况出现后,人们关于行车数据等信息属于谁、车主是否有权利调取数据、如何保护存放在企业端的车辆数据,以及车企如何合理利用车端数据等问题,成为新汽车时代消费者们关注的焦点话题。
为了规范各市场主体对汽车数据的收集及使用,国家层面已于2021年出台了《汽车数据安全管理若干规定(试行)》(下称《规定》)。《规定》提出,收集汽车数据信息,需要取得被征集人的同意。《规定》还明确了汽车数据安全主管机关,表明管理归口到网信办;同时还对什么是重要数据、运营者及个人信息等概念有了较为明确的定义,例如《规定》指出个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为的各种信息。而运营者收集个人信息应当取得被征集人同意,法律法规规定不需取得个人同意的除外。此外,《规定》对汽车数据收集、分析、存储、传输、查询、利用、删除等行为提出了规范要求。该规定已于2021年10月1日起开始施行。
尽管汽车行业各方一直在呼吁加大力度保护车主隐私,但到目前为止还没有比较有效的解决方法,实现中侵犯车主隐私的事件依旧层出不穷。未来,在汽车向第三极智能终端演变的过程中,消费者在车内停留的时间或将进一步增长,同时消费者在车内使用的各种功能也将留存更多的数据,汽车本身是否成为商家获取消费者“足迹”的新渠道?
解决车主隐私保护问题任重而道远,需要相关职能部门、车企、网络平台等各个参与方共同应对。
本次调研数据部分来自腾讯新闻以及腾讯问卷样本库(卷叔填填圈)。