隨著汽車智能化網聯化的快速發展,汽車企業在采集和處理用戶數據時面臨著前所未有的安全挑戰。Meta公司(Facebook的母公司)明文存儲用戶密碼被罰事件,揭示了明文存儲敏感信息可能帶來的巨大安全隱患,以及違反數據保護法規可能面臨的嚴重法律和經濟后果。當地時間9月27日,愛爾蘭監管機構對Meta公司開出了高達1.01億美元(約合人民幣7.08億元)的罰單,原因是該公司以明文形式存儲了數億用戶的密碼,并允許公司內部員工廣泛訪問這些密碼。此次事件為汽車行業敲響了警鐘,在處理敏感數據時必須嚴格遵守相關法律法規,確保數據的安全。
(一)事件經過
Meta在沒有加密和訪問控制等適當保護措施的情況下,存儲了數億用戶的明文密碼,甚至允許約2000名Meta工程師自由查詢這些敏感數據,查詢次數高達900萬次之多。雖然Meta未透露具體受影響用戶數量,但據估計涉及“數億FacebookLite用戶、數千萬其他Facebook用戶”以及數百萬Instagram用戶。Meta的這一行為違反了GDPR(《通用數據保護條例》)的多項條款,其中,包括未能及時通知監管機構有關數據泄露的情況、未正確記錄相關事件、未確保數據的完整性和保密性以及未實施適當的處理安全措施等。
(二)原因分析
2018年5月25日,GDPR在歐盟成員國內正式生效實施,旨在保護個人數據與隱私,被認為是歐盟有史以來最為嚴厲的數據保護法律。該條例保護的個人數據非常廣泛,包括但不限于個人的姓名、身份證號碼、位置信息、IP地址、瀏覽歷史、Cookies等。這些數據可能被用于識別個人身份或追蹤個人行為。而GDPR可以阻止企業濫用追蹤到的信息,違反GDPR的企業可能會面臨重大的財務處罰,最高可達其全球年營業額的4%或2000萬歐元,以較高者為準。
愛爾蘭數據保護委員會(DPC)啟動對Meta的調查,評估了Meta對GDPR的遵守情況。DPC認定Meta違反了GDPR中規定的相關安全要求:違反GDPR第5條第(1)款第(f)項,Meta未能采取適當的技術或組織措施來確保用戶密碼的適當安全性,防止未經授權的處理;違反GDPR第32條第(1)款,Meta未能實施適當的技術和組織措施來確保與風險相適應的安全級別,包括確保用戶密碼持續機密性的能力;違反GDPR第33(1)條,Meta未能通知DPC有關以明文形式存儲用戶密碼的個人數據泄露;違反GDPR第33條第5款,Meta未能記錄與以明文形式存儲用戶密碼有關的個人數據泄露。
(三)關鍵的哈希加密
哈希通過單向密碼學算法將明文密碼轉換為獨特的長字符且不可逆,數據使用哈希函數加密后存儲于數據庫,原始數據經過運算得到一個哈希值,存儲的哈希值無法被逆轉以恢復原始數據,進而達到保護數據安全的目的。
為了確保加密過程的安全性,應選擇計算成本高、抗攻擊能力強的加密算法,避免使用像SHA-1和MD5這樣計算速度快、易受暴力破解攻擊的算法。此外,在哈希加密過程中實施“加鹽”策略,即在數據中加入一串隨機數據,再計算哈希值。由于插入不同鹽值后生成的哈希值不同,破解難度將顯著提升,確保即使數據泄露,攻擊者也難以逆向破解出原始數據。
為了規范汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》,對汽車數據中的個人信息、敏感個人信息、重要數據的含義和類型進行了明確界定。敏感個人信息與重要數據禁止以明文形式存儲在車內或向車外傳輸。
守護國家安全,謹防明文存儲泄密。明文存儲重要數據將威脅國家安全,如特定區域的車輛流量和物流數據,如果以明文形式存儲并被非法獲取,將可能被用于危害國家安全的活動,影響社會穩定和公共安全。
保障企業經營安全,避免明文存儲違法違規。明文存儲敏感個人信息與重要數據違反了數據保護法規,可能導致汽車企業面臨法律責任,包括罰款、賠償損失甚至刑事責任。
保護個人信息安全,防止明文存儲泄露隱私。明文存儲的敏感個人信息,如車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等,一旦泄露,將直接暴露用戶的隱私,違反《個人信息保護法》,可能導致用戶面臨身份盜竊、隱私侵犯甚至威脅生命安全的風險。
此次Meta公司明文存儲被罰事件為汽車行業敲響了警鐘,建議汽車制造商考慮以下三個方面:
一是熟悉掌握政策標準。汽車制造商應密切關注國內外有關汽車密碼技術、數據安全、信息安全相關政策法規,嚴格遵守GB44495-2024《汽車整車信息安全技術要求》、GB44496-2024《汽車軟件升級通用技術要求》等標準要求。
二是開展明文存儲排查。企業應開展全面的數據存儲排查工作,確保不存在以明文形式存儲敏感數據的情況。應采用加密技術,如密碼哈希算法,對敏感數據進行加密處理,以防范數據泄露風險。
三是規范密碼技術應用。在處理敏感個人信息和重要數據時,應使用經過驗證的、安全的密碼算法進行加密。避免使用已知存在安全隱患的算法,如MD5或SHA-1。此外,可結合“加鹽”技術提高安全性。同時,應定期更新和維護加密措施,以應對新的安全威脅。
中汽研科技有限公司(簡稱“中汽研科技”)密碼技術專家鮑越表示,密碼技術對智能網聯汽車數據存儲的保護應更加明確,如應采用密碼技術保護存儲在車內的敏感個人信息與重要數據的機密性,保護車內的關鍵安全日志的完整性。
下一步,中汽研科技將持續推進密碼技術在智能網聯汽車中的實踐應用,為企業提供汽車商用密碼安全合規應用的解決方案,支撐汽車行業打造完整、安全的產業生態,保障智能網聯汽車產業安全高質量發展。