数据泄露

个人隐私、数据泄露是历年央视315晚会的“常客”,从招聘网站简历流入黑市,到人脸摄像头搜集用户信息,再到手机App过渡索权……

晚会的每次曝光都在社会上引发热议,同时也推动行业的信息安全防护提升一个等级。

今年有关个人隐私安全问题的主角轮到了手机品牌iQOO。

媒体报道截图

315晚会显示,该品牌手机在恢复出厂设置之后,仍然不会彻底清除手机数据,虽然iQOO在晚会紧急澄清,出现这一问题的原因是没有将“格式化SD卡和手机存储”的选项勾选,并且回应称,“测试演示用的是iQOO手机,手机格式化不能删除数据这一问题与品牌无关”,但还是暴露出,iQOO以及其他品牌在用户信息安全保护上或存漏洞。

01 个人隐私泄露,手机成了“重灾区”

这并不是由手机牵扯出的第一起涉及个人隐私安全问题。

2018年,约410万条旅客信息在网上被出售,后经调查,信息泄露与12306平台无关,是用户通过第三方抢票平台订票后个人信息被盗取。

2019年的315晚会中,主持人现场使用一款名为“社保掌上通”的App查询个人社保信息,网络安全专家在一旁实时抓取分析数据包,演示了用户信息被发送至一家大数据公司服务器的全部过程。

去年的315晚会,则曝光了对打着免费自动连接WiFi名义,实际进行“欺骗误导用户下载App”和“欺骗误导用户提供个人信息”的违规行为,以及依托穿戴设备进行“App强制、频繁、过度索取权限”等行业乱象。

之前曝光的主要是App软件商的问题,今年的矛头直接指向了硬件载体手机品牌。

中国消费者协会曾发布过一份《App个人信息泄露情况调查报告》,共计5458份有效问卷中,遭遇过个人信息泄露的受访者占比高达85.2%。

个人信息泄露轻则遭受骚扰电话、垃圾短信的侵袭,重则会遇到大数据杀熟、网络诈骗的陷阱,这些雷区只要个人有一定的防范意识,基本还是能够避开,然而手机数据如果没有彻底删除,用户将直接面对金融账户被盗的风险。

经常有新闻曝出,用户在卖出旧手机时,忘记将支付宝、银行App等软件卸载,从而让不法分子登录使用,导致财产损失。

事实上,针对数据泄露和个人信息安全,政府先后出台了《网络安全法》《数据安全法》《个人信息保护法》等,初步建立了一套数据安全方面的法律架构。

手机作为个人数据安全第一载体,此次315曝出iQOO的数据安全漏洞,再次敲响了行业在数据安全防范上的警钟。

02 iQOO被点名是信息安全漏洞,也是产品体验缺陷

iQOO是vivo在2019年孵化的一个子品牌,近4年时间的发展,iQOO已经从最初的一款产品,发展到拥有数字旗舰系列、Neo系列、Z系列和U系列的完整产品体系,价格也覆盖1000—6000元之间的主流价格带。

和vivo相比,iQOO有互联网品牌的一些特性,主打潮玩年轻化,侧重更好的性能和游戏体验,有着较高性价比,去年第三季度,iQOO市场份额达到历史性的4.6%,全年出货以26.9%的同比增长,为vivo坐稳国内中国智能手机市场份额第一提供了重要支撑。

图源:IDC中国季度手机市场跟踪报告

按理说,iQOO已经是一个比较成熟的品牌了,不至于出现“恢复出厂设置无法彻底删除数据”这样的“低级错误”,更何况是,并非不能删除,只是在操作指引上不够明晰。

其关键问题在于对用户体验的洞察还不够深入和犀利。

说得更直白一些,iQOO的产品思维只停留在用户能够看到的,摸到的表面,对用户的真正需求,特别是使用过程中的便捷性和人性化功能的设计,考虑的不够周全。

很典型的例子,为了让产品的“卖相”更好,iQOO随行业大流,疯狂堆料卷配置。

在“拥有顶级电竞体验的高性能手机”的定位下,iQOO在处理器、内存与闪存等三个决定手机性能最重要的硬件领域,提出了“性能铁三角”的概念,即每一代旗舰手机都必须搭载同时期规格最强的处理器、内存以及闪存。

这就造就了,iQOO从第一代手机搭载高通骁龙855处理器,到8系列搭载高通骁龙888处理器,以及iQOO 9系列搭载的全新一代骁龙8移动平台,都是行业内最早搭载历代最新处理器的智能手机品牌之一。

在营销侧,iQOO的策略是砸钱来提升品牌声量。

从2019年开始,iQOO先后打入KPL赛事体系,成为KPL赛事的官方比赛用机;赞助BMW,成为BMW M Motorsport全球顶级合作伙伴;赞助中国国家赛艇队&皮划艇队,为运动员夺金助力……

很显然,iQOO的“面子”功夫做得很足,一系列的营销活动为iQOO树立了“高性能”的核心品牌主张,也带了销量的提升。

回到这次被315晚会点名事件,iQOO并非没有技术能力解决这个漏洞(甚至不能算是漏洞,更准确的描述应该是操作流程的优化),只是在于有没有想到在进行恢复出厂设置时,勾选“格式化SD卡和手机存储”选项是否符合正常的操作逻辑,以及对用户数据安全的重视程度到底有多深。

归根结底,是缺乏极致的产品思维的表现。

颇值得玩味的是,iQOO的母公司vivo在安全与隐私保护方面颇有建树,在具体的“反诈”实践中,不光探索出“千镜安全范式”(通过千镜安全架构穿透手机软硬件的各个层面,构建“安全网”),还向全球发布了《vivo 安全与隐私保护透明白皮书》,从战略原则、组织体系、流程制度、数据管理和生态建设等多个维度详细阐述了 vivo 在安全与隐私保护建设上的实践和经验。

vivo首席安全官鲁京辉曾公开发表言论:“在数据合规方面,我们认为技术所赋予我们的并不是一种凌驾于用户之上的霸权,而是一种真正有温度的力量——让用户获得幸福,让行业得到发展,让经济向阳而生。”

很遗憾,iQOO没有掌握vivo在数据安全保护上的精髓,距离鲁京辉所说的“有温度的力量”也相差甚远。

03 结语

vivo创始人、总裁兼首席执行官沈炜曾说过,“如果一个人总是忙着去做短期的事,看重短期的结果,而忽略长期重要的事,就会很容易出问题,也必然走不长远。”

顺着沈炜的话捋下去,产品的信息安全不但是当下需要重视的问题,也关乎到未来的竞争,更是企业价值观、社会责任感的体现。

商业世界有无数过往案例,无论是顺风行舟,还是逆风翻盘,企业一定要站在用户视角,维护用户的权益才有可能成功。

iQOO此次被点名,从一个更长远的周期来看,或许并非是件坏事。

315晚会点醒的不光光是iQOO一个品牌,更是整个行业对信息安全的重视,查漏补缺下,带动的是手机产品整体体验的提升。

本文为转载内容,授权事宜请联系原著作权人

阅读全文>>

12月20日,蔚来用户数据遭窃取被勒索的消息,在网络上炸开了锅。

据了解,蔚来此次被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息,对方向蔚来提出的勒索目标为225万美元等额的比特币。蔚来目前已成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。

事实上,类似这样的车企数据泄露事件并非孤例,此前通用汽车、菲亚特克莱斯勒、福特、大众、丰田、沃尔沃等汽车厂商都曾卷入数据泄露风波。

在江西新能源科技职业学院新能源汽车技术研究院院长张翔看来,车企无法完全避免类似的数据泄露事件的发生,只能尽可能地提高安全等级,增加黑客的攻击成本。

值得注意的是,数据泄露风波之外,蔚来第三季度的净亏损进一步扩大,与此同时,其毛利率指标也有所恶化,而此前定下的2022年交付15万辆汽车的KPI已大概率无法完成。为了尽可能地接近交付目标,蔚来推出补贴活动以刺激销量。

蔚来用户数据遭窃取,被勒索225万美元

天眼查资料显示,蔚来是一家智能电动汽车研发商。主要产品包括电动方程式赛车以及EP9型无人驾驶电动汽车,已进行过15轮融资,融资金额达数百亿。

12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布一则公告称,12月20日,有不法人士在网上出售蔚来相关数据。

另据网传的一张图片显示,有人自称于近日破解了蔚来的大量数据,并给了蔚来两次机会,但“蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此我们决定有偿曝光”。

据该人士列出的内容显示,其拥有的数据不乏蔚来员工数据、订单数据、用户及企业代表联系人数据,此外还包括车主身份证、用户地址、车主亲密关系、车主贷款数据等极为隐私的信息。

该人士还对这些数据进行了明码标价,如22800条员工数据,上至总裁、下至一线员工,售价为0.15比特币;与车主用户身份证相关的数据399000条,售价为0.25比特币。

据悉,早在12月11日,蔚来公司便收到外部邮件,对方声称拥有蔚来的内部数据,并以泄露数据对蔚来进行价值225万美元等额比特币的勒索。

在收到勒索邮件后,蔚来公司当天便立即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

事件发生后,蔚来对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。蔚来承诺,对因本次事件给用户造成的损失承担责任,并对此次事件表示歉意。蔚来表示,窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不向网络违法犯罪行为低头。

次日,蔚来又在港交所发布公告称,蔚来已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。

据蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区透露,本次事件并不涉及车辆使用中产生的数据,如行车轨迹、座舱数据等,也不会影响到车辆的驾乘或远程控制。目前还在进一步调查数据泄露的原因和影响范围。

对于发生用户数据泄露遭勒索一事,蔚来创始人、CEO李斌在蔚来官方社区表示,保护好用户信息安全是蔚来的责任,没有做好向大家深表歉意,蔚来会对此次事件给用户带来的损失承担责任。同时,蔚来会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。

雷达财经注意到,在蔚来社区里,有多位网友反馈称最近接到的骚扰电话较多。甚至有网友称,自己已于12月21日收到诈骗电话,对方称可以为蔚来车主提供30万至100万元的专属贷款。

对此,蔚来客服表示,如近期遇到涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。

有网友在相关公告下方的评论区表示,理性看待,互联网时代不可避免,希望蔚来加强网络安全,避免类似事件的发生;也有网友表示,坚决不向黑恶势力低头,打击和严惩买卖个人数据的灰色产业。

一名自称兼管公司信息安全的网友认为,信息安全和工作效率天生相悖,要安全就需要多加几层防御,如果每次正常工作都需要通过防御网,那么将会影响到工作效率,但反之则有可能被像苍蝇一样令人作呕的勒索病毒攻击。

该网友还指出,信息安全管理应按照ISO27001要求,首先识别信息的安全等级,像此次泄露的涉及用户基本信息的数据应标识为最高等级,按等保三级要求,就连数据库存储都应加密。同时,蔚来此次发生的信息安全事件,不能只归罪于外,内因是根本,必须有相应的内部问责机制。

多家汽车厂曾出现用户数据泄露

雷达财经了解到,早在去年10月27日,蔚来就曾向300名用户发起邀请参加其组织的线上沙龙,而这个沙龙探讨的主题便是“数据与网络安全”。

此次沙龙上,蔚来数字系统部的负责人王启研和产品安全部的负责人卢龙向用户分享了蔚来在信息安全领域的工作,介绍了蔚来在车辆端、云端、以及流程管理层面建立的安全保障和防御体系。

据介绍,蔚来产品安全团队是一支全球化的队伍,其中包括中、美、欧多国的一流安全专家及全球化的研发团队和本地化的运营团队,主要负责所有产品的系统和数据安全、核心安全能力研发及产品全生命周期安全管理。

雷达财经了解到,蔚来数据安全原则包含用户知情权、非必要不收集、用户和重要数据不出境、最小权限、数据分级分类管理、数据传输和存储加密等多个内容。

据蔚来负责数字账号安全的产品经理和体验经理Hao Zhu表示,智能网联汽车在给人们带来巨大的便利性、舒适性和高效性的同时,本身也面临着信息安全和数据保护的挑战。蔚来所面临的信息安全问题,横跨了虚拟和物理两个世界,不单有互联网领域、虚拟领域的信息安全和隐私保护风险;信息安全与否,对车的功能安全会有很大的影响,甚至可能影响大家的人身和财产安全。

据Hao Zhu介绍,蔚来一直以来都在施行全公司范围的数据分级保护。与用户相关的数据一直都是最高等级的机密信息,从其收集、传输、使用和处理,到存储、销毁的整个生命周期,都会对其进行风险分析,并作出相应的改进,从而确保这些数据在所有的线上系统和线下各种使用场景中,都能够得到恰当的保护。

然而,今年4月,蔚来在一份内部通知中表示,自2021年2月起,蔚来某集群服务器管理员张某利用职务之便,使用公司内部服务器进行了以太坊挖矿并从中获利,相关行为严重违反公司规定,并涉嫌触犯非法控制计算机信息系统罪,对公司系统安全和商业信息安全造成负面影响。

事实上,在如今这个数据泛滥的互联网时代,车企发生的与数据安全相关的案例并不稀罕。早在2017年7月,据纽约时报报道,网络安全公司UpGuard安全研究员透露,包括通用汽车、菲亚特克莱斯勒、福特、特斯拉、丰田、蒂森克虏伯、大众等在内的100多家车企,其机密数据在Level One Robotics的公共服务器上曝光。

去年6月,身为汽车行业巨头之一的大众汽车,又有330万名客户的数据遭泄露。数据泄露的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上,其中不乏客户和潜在买家的姓名、地址以及电话号码等个人信息。

去年12月,沃尔沃汽车也身陷数据泄露风波。彼时,沃尔沃汽车方面表示,已对一起网络安全漏洞和一些研发数据失窃事件展开调查。迄今的调查证实,该公司一些研发资产在黑客入侵期间被盗,这可能会对公司的运营产生影响。

今年10月,日本汽车品牌丰田汽车又上演了类似的事件。丰田汽车称,在其T-Connect服务中约有29.6万条客户信息可能被泄露,受影响的客户均为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。

江西新能源科技职业学院新能源汽车技术研究院院长张翔向雷达财经表示,目前车企的数据量普遍较多,随着汽车不断向智能化发展的趋势,智能汽车相比传统汽车数据量更为庞大。对于这些数据,行业内的通用做法一般是将其储存在云端,而不是保存在本地。因为云端存储的话,成本更低、安全性更好、效率更高,但也因此带来了一定的安全隐患。车企若想提升数据的安全级别,通常需要支付更高的费用。

“对于黑客而言,其恶意对车企的数据攻击,主要是想通过勒索获得一笔非法的盈利资金。至于如何避免汽车使用数据的泄露,其实车企并不能做到100%的规避。车企只能是尽量地提高安全等级,增加黑客的攻击成本,使黑客攻击用户使用数据的难度加大,进而主动放弃攻击”,张翔进一步补充道。

雷达财经了解到,目前国内正在就汽车数据安全保护不断进行法律法规方面的完善,如出台了《汽车数据安全管理若干规定(试行)》、《信息安全技术网联汽车采集数据的安全要求》、《关于进一步加强新能源汽车企业安全体系建设的指导意见》等相关文件。

这些文件对于车企在健全网络安全保障体系方面提出了更多要求,要求车企加强网络安全防护、强化数据安全保护、落实个人信息安全防护。

年度交付目标仅完成七成

财报显示,蔚来第三季度的营收达到130.02亿元,同比增长32.6%。但蔚来第三季度的净亏损却高达41.11亿元,与上年同期录得的8.35亿元的净亏损相比扩大392.1%,与第二季度27.58亿元的净亏损相比也扩大了49.1%。

与此同时,蔚来的车辆毛利率不论是同比还是环比均出现了下降。第三季度,蔚来的车辆毛利率为16.4%,与去年同期的18%相比下降160个基点,与上一季度的16.7%相比下降30基点。

整车销售毛利率的下滑,叠加多方面的因素,进一步影响到了蔚来整体的盈利能力。今年第三季度,蔚来的整体毛利率为13.3%,而去年第三季度蔚来的整体毛利率为20.3%,同比下降700个基点。

对于毛利率的下跌,蔚来解释称主要是由于具有较高销售毛利率的新能源汽车积分销售产生的收入减少、车辆毛利率下降及能源及服务网络投资扩大导致其他销售毛利率下降所致。

交付数据方面,第三季度蔚来实现了31607辆的交付成绩,同比增长29.3%,创下蔚来单季度交付量的历史新高。刚刚过去的11月,蔚来交付14178辆汽车,虽然该月蔚来的交付量同比实现了30.3%的增长,但仍不及哪吒汽车、理想汽车同期15072辆、15034辆的交付成绩。

若从年初开始计算,蔚来年内的累计交付量达到106671辆。在李斌看来,年销量10万辆是造车新势力盈利的一个重要分水岭。李斌还放言,2023年第四季度,蔚来品牌将实现盈亏平衡。

值得注意的是,蔚来此前为2022年定下的交付目标为15万辆以上。虽然蔚来已成功闯入年交付量“10万辆俱乐部”,但也仅完成目标的七成左右。换言之,在2022年仅剩最后一个月就要结束的情况下,蔚来目前距离年度交付量KPI的缺口还剩43329辆,几乎没有完成的可能。

中国乘用车产业联盟秘书长张秀阳认为,销量、毛利率是新能源车企最为看重的两个数据。对于销量未达预期的企业,可能会选择牺牲毛利的方式来降价保销量。

为了进一步促进销量的提升,蔚来已在11月初推出购车补贴方案,即在年底前下定蔚来ES8、ES6、EC6、ET7、ES7并且锁单排产,仍可享受2022年新能源汽车购置补贴。

尽管2022年即将进入尾声,但对于蔚来汽车而言,2023年的任务依旧艰巨。按照此前预定的计划,蔚来汽车拟在明年上半年推出5款新车,如若一切顺利,届时蔚来将出现在售车型总数达到8款的局面,而这对于蔚来来说,极为考验其研发创新及产能等方面的综合实力。

本文为转载内容,授权事宜请联系原著作权人。

阅读全文>>
创业萤火
创业萤火
创业萤火
Copyright 2021 yinghuodd.com All rights reserved 皖ICP备2020017053号-1
安徽萤火点点信息科技有限公司 地址:安徽省合肥市政务文化新区栢悦中心2412室
违法和不良信息举报电话:0551-63844003举报邮箱: jubao@yinghuodd.com