出品|虎嗅科技组
(资料图片)
作者|包校千
编辑|陈伊凡
题图|视觉中国
在马斯克来华之际,一则关于特斯拉的新闻让自动驾驶的数据安全再次被推到舆论的漩涡。
“我的自动驾驶系统差点要了我的命。”
《德国商报》近日的一篇报道,把特斯拉推向了一场前所未有的数据泄露风波,同时让自动驾驶安全再次成为议论焦点。
一切的一切,源自对特斯拉“心怀不满的前员工”,在离职前盗取了公司机密文件,并以此作为举报材料提供给《德国商报》,让这家全球最大的电动汽车制造商颜面扫地。
这起事件之所以引起轩然大波,则在于数据总量之多、受波及的对象之广。100GB的数据文件集,从员工工资、客户银行信息,到车辆生产信息和数千份关于特斯拉自动驾驶系统的客户投诉。就连马斯克本人也未能幸免,其社保号码以及私人邮箱和电话,轻而易举地攥在了别人手里。
对于数据外泄的具体原因,报道称是该前员工作为服务技术人员滥用权限所致。即便是离职员工行为,特斯拉也会因未能充分保护客户、员工和商业伙伴的数据,触犯欧盟的《通用数据保护条例》(GDPR)。
早在4月份,这名特斯拉前员工就向德国当局披露了公司存在数据保护漏洞,这才让他有机可乘。目前,荷兰数据保护局已经对超过2.3万份数据文件的泄露,介入并展开了详细调查。一旦违规行为被证实,特斯拉恐将被欧盟监管机构处以32.6亿欧元(约合人民币247亿)的巨额罚款。超过前不久欧盟给Meta开出的12亿欧元“史上最高罚单”。
而此次数据泄露事件,不仅使特斯拉遭受史无前例的信誉危机和法律风险,同时给汽车行业再次敲响一记警钟。
自动驾驶的安全问题将如何解决?这成为了决定这项技术能否大规模商业化的关键。
谁给信息安全上把锁
因为泄密者向《德国商报》提供了100GB的数据,意味着特斯拉违反了欧盟数据保护法。而这个被称为“特斯拉文档”(Tesla Files)的文件包,绝大多数的信息疑似来自特斯拉的项目管理系统。
对于规模如此之大的数据泄露,特斯拉欧洲工厂的数据保护办公室并不愿承认,声称“不记得有过这样的规模”。不过,《德国商报》此前已经把数据交由弗劳恩霍夫安全信息技术研究所,没有发现文件中有篡改或伪造的证据,真实性已得到了证实。
对此,特斯拉矢口否认数据泄露是由于自身对数据安全管理的疏忽造成的。该公司法律顾问表示,特斯拉对机密信息和员工及客户的个人隐私一直是严格保护的,并称媒体拿到的数据“属于非法获得”。
在这中间,特斯拉曾试图阻止《德国商报》在报道中使用这些数据,甚至威胁要对其采取法律行动。不过根据欧盟法律规定,在特殊情况下,报道非法获得的数据是合法的。
事实上,这并非特斯拉第一次被指控违反数据保护条例。上个月有9名特斯拉前员工向路透社透露,在2019年至2022年期间,他们通过内部消息系统分享了客户车载摄像头拍摄的高清视频和照片。
其中,一名男子全裸着走近特斯拉的视频,被车内摄像头捕获后,在加州圣马特奥的特斯拉办公室里相互分享。根据另外一名前员工的爆料,他们经常从内网系统下载车祸视频、搞笑的视频或照片。
由于泄露的信息太多,大约两周前,《德国商报》的编辑团队就已经向特斯拉发送了一份完整的关于数据的问题清单,但没有得到回答。目前,这起事件已经引起德国数据保护中心和荷兰数据保护局的注意。
站在数据安全防护的角度,360智能汽车安全事业群负责人吕欣鸿认为:“特斯拉安全意识应该是很强的,在车企中做得相当不错。”但内部员工可以在内网随意获取用户信息,并通过社交平台相互分享,令人颇感意外。
一位行业人士透露,内部安全才是企业最大的隐患。由于车企竞争激烈,员工相互跳槽频繁,地下数据交易是行业公开的秘密。“往往在新车还没发布的时候,造型数据和生产数据就泄露出来,已经见怪不怪了。”
除此之外,本次特斯拉泄露的数据还和车联网安全有关。
从2014年成立车联网安全研究团队起,360在整车安全方面发现了大量的安全漏洞。也是在2014年,360首次破解了特斯拉的车联网系统,帮助其发现了重要安全漏洞,比如攻击者可利用该漏洞远程/近程控制车辆,执行车辆开锁、鸣笛、闪灯以及车辆行驶中开启天窗、中间人攻击、窃听等操作。
当时,360就向特斯拉提交了漏洞袭击说明和解决方案,同时提醒特斯拉车主关闭远程访问,以避免被攻击者利用该漏洞进行远程操控。
如今,全球主流车企虽然都配备了百人以上的安全团队,同时有第三方专业的安全公司提供一对一的专属服务。“但即便如此,所有的车企制造和运营汽车时仍存在很大的安全隐患。”吕欣鸿表示,汽车行业的数据安全和隐私保护贯穿了从开发、生产、量产维护及运营甚至报废的全生命周期。在新车立项之前,团队就要把开发安全、设计安全、运营安全,还有供应商准入等问题考虑进来。
吕欣鸿指出,最近整车生产能力是国际上一个非常热门的话题,“但汽车的生产制造周期很长,通常在24-48个月之间,很难有人具备规划思维、提前想好两年之后的事情,这需要超乎一般人的认知。”
2023年4月17日,由于车联网云服务平台设置错误,丰田日本车主的数据库“门户大开”,约215万日本用户的车辆数据蒙受泄露风险。而丰田的个人隐私泄漏安全隐患,竟已暴露长达十年时间——问题的根源就在于车联网没有安全保护机制。
吕欣鸿指出,十年前,全球各大车企的汽车就具备了基础的车联网功能。当时汽车4S店的营销和汽车维护方,已经掌握了大量的车主隐私信息。但是,车企的主业不是做安全,他们更多关注的是整车的生产、营销、产品功能,而对于安全的意识“远远不够”。
再比如,2022年12月23日,蔚来收到外部勒索邮件,勒索方表示拥有蔚来内部数据,并以数据泄露为威胁勒索225万美元的比特币。经过蔚来汽车内部初步的调查,承认被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息。
尽管蔚来表示,已对公司的信息安全体系进行隐患排查和安全强化,并将加强技术力量,提升信息系统的安全防护能力,充分保护用户信息安全。“但很多车企连‘温饱’还没有解决,每年让他砸20亿养一个安全团队,根本不现实。”吕欣鸿坦言,现阶段部分车企为了冲销量创业绩,主机厂自然会把汽车营销置于第一位,普遍缺乏安全意识,导致没有足够多的预算投入到安全建设之中。
而这次特斯拉的数据泄露事件,必然会促使汽车行业对数据安全和隐私保护的进一步思考。特别是在汽车智能化时代,为“裸奔”的信息数据加把“锁”,正在变得越来越重要。
自动驾驶道阻且长
前不久,马斯克接受CNBC的专访时,谈到自己的作息时间表示,每周工作7天,每天只睡6个小时。他甚至试着“每天再少睡一会儿”,但后来觉得这样只会让白天的工作效率下降。
虽然马斯克每天都在卖力工作,不过《德国商报》认为,他并没有把精力放到更应该关注的地方上,比如数据安全。
在这次随“特斯拉文档”一起泄露的数据中,有数千份关于特斯拉Autopilot(自动辅助驾驶系统)和FSD(full self- driving,完全自动驾驶系统)的问题报告。这让马斯克引以为傲的自动驾驶成为众矢之的。
这些数据涉及从2015年到2022年3月期间生产的特斯拉汽车。大多数投诉来自美国,也包括部分欧洲和亚洲客户反映的问题。
其中,有大约4000起客诉把矛头指向了车辆突然加速或制动故障的问题,以及3000多起对驾驶员辅助系统安全性的担忧。
从2015年开始,就有大量关于特斯拉失控的报道。比如在美国,至少发生了232起此类案件。但事后,美国国家公路交通安全管理局没有发现硬件或软件问题的证据,而是把每一次错误归咎于司机头上。
为此,《德国商报》联系了数十名客户,他们证实了这些投诉是真实的。
一位来自加州的医生描述了在2021年秋天发生的一起事故。当时,她正要在停车场转弯时,她的特斯拉突然像赛车一样加速。“我试图转向,但撞上了水泥柱,”该车主回忆说。“水泥柱被摔倒了,但车没有停下来。车又撞上了最近的路桩。安全气囊爆了,我惊呆了。”
此外,超过1500起投诉称特斯拉的刹车有问题,包括139起“幽灵刹车”和383起“幽灵熄火”。2022年2月,在《华盛顿邮报》的一篇文章引发外界对该问题的关注后,美国国家公路交通安全管理局收到了数百起投诉,并对特斯拉的“幽灵刹车”问题展开了安全调查。但问题仍然存在,在特斯拉向所有车主开放其FSD测试版计划后,去年感恩节期间发生了8车相撞的事故。
对于这些客诉,特斯拉的内部规定是:尽可能减少书面承诺,信息口头传达给客户,避免留下证据。每个事件都有“技术审查”的要点,但只能“内部使用”。每个条目还要求信息只能“口头传达给客户”,并且车辆数据不得对外发布。如果无法阻止律师的介入,则必须记录下来。
为了阻止《德国商报》揭露这背后的问题,特斯拉曾试图阻止这些数据的使用,并威胁要采取法律行动。不过《德国商报》仍然决定使用这些数据,并声称根据欧盟法律,在特殊情况下,报告非法获得的数据是合法的。
目前,特斯拉提供两种类型的自动驾驶技术:全自动驾驶(FSD)和AutoPilot。FSD针对城市交通和城市道路,在中国还没有上市,不过有传言说它很快就会到来。AutoPilot则是一种标准的ADAS系统,于2015年率先上线,主要用于高速公路驾驶。
伴随着FSD的问世,美国消费者对它的质疑不断。数据显示,近一年来,涉及特斯拉Autopilot的事故共有273起。此次泄露的文件中,关于Autopilot和FSD最早的投诉可以追溯到2015年,最近的投诉可以追溯到2022年3月。大多数投诉来自美国,也有欧洲和亚洲客户的问题反映在数据中。
2022年2月,在《华盛顿邮报》的一篇文章引发外界对该问题的关注后,美国国家公路交通安全管理局对特斯拉的“幽灵刹车”问题展开了安全调查。但问题仍然存在。
即便如此,马斯克对自动驾驶仍表现出十分乐观。他笃定FSD一定会比人类驾驶员安全得多,一定比人类驾驶员安全十倍。为了让FSD越来越好,特斯拉当下有两大重点,一是提高安全性,二是推动FSD早日落地。
显然,特斯拉正陷在安全里,能不能拔出来,还需要时间验证。
正在改变与想要改变世界的人,都在虎嗅APP