出品|虎嗅科技組
作者|包校千
編輯|陳伊凡
題圖|視覺中國
在馬斯克來華之際,一則關于特斯拉的新聞讓自動駕駛的數據安全再次被推到輿論的漩渦。
“我的自動駕駛系統差點要了我的命。”
《德國商報》近日的一篇報道,把特斯拉推向了一場前所未有的數據泄露風波,同時讓自動駕駛安全再次成為議論焦點。
一切的一切,源自對特斯拉“心懷不滿的前員工”,在離職前盜取了公司機密文件,并以此作為舉報材料提供給《德國商報》,讓這家全球最大的電動汽車制造商顏面掃地。
這起事件之所以引起軒然大波,則在于數據總量之多、受波及的對象之廣。100GB的數據文件集,從員工工資、客戶銀行信息,到車輛生產信息和數千份關于特斯拉自動駕駛系統的客戶投訴。就連馬斯克本人也未能幸免,其社保號碼以及私人郵箱和電話,輕而易舉地攥在了別人手里。
對于數據外泄的具體原因,報道稱是該前員工作為服務技術人員濫用權限所致。即便是離職員工行為,特斯拉也會因未能充分保護客戶、員工和商業伙伴的數據,觸犯歐盟的《通用數據保護條例》(GDPR)。
早在4月份,這名特斯拉前員工就向德國當局披露了公司存在數據保護漏洞,這才讓他有機可乘。目前,荷蘭數據保護局已經對超過2.3萬份數據文件的泄露,介入并展開了詳細調查。一旦違規行為被證實,特斯拉恐將被歐盟監管機構處以32.6億歐元(約合人民幣247億)的巨額罰款。超過前不久歐盟給Meta開出的12億歐元“史上最高罰單”。
而此次數據泄露事件,不僅使特斯拉遭受史無前例的信譽危機和法律風險,同時給汽車行業再次敲響一記警鐘。
自動駕駛的安全問題將如何解決?這成為了決定這項技術能否大規模商業化的關鍵。
誰給信息安全上把鎖
因為泄密者向《德國商報》提供了100GB的數據,意味著特斯拉違反了歐盟數據保護法。而這個被稱為“特斯拉文檔”(Tesla Files)的文件包,絕大多數的信息疑似來自特斯拉的項目管理系統。
對于規模如此之大的數據泄露,特斯拉歐洲工廠的數據保護辦公室并不愿承認,聲稱“不記得有過這樣的規模”。不過,《德國商報》此前已經把數據交由弗勞恩霍夫安全信息技術研究所,沒有發現文件中有篡改或偽造的證據,真實性已得到了證實。
對此,特斯拉矢口否認數據泄露是由于自身對數據安全管理的疏忽造成的。該公司法律顧問表示,特斯拉對機密信息和員工及客戶的個人隱私一直是嚴格保護的,并稱媒體拿到的數據“屬于非法獲得”。
在這中間,特斯拉曾試圖阻止《德國商報》在報道中使用這些數據,甚至威脅要對其采取法律行動。不過根據歐盟法律規定,在特殊情況下,報道非法獲得的數據是合法的。
事實上,這并非特斯拉第一次被指控違反數據保護條例。上個月有9名特斯拉前員工向路透社透露,在2019年至2022年期間,他們通過內部消息系統分享了客戶車載攝像頭拍攝的高清視頻和照片。
其中,一名男子全裸著走近特斯拉的視頻,被車內攝像頭捕獲后,在加州圣馬特奧的特斯拉辦公室里相互分享。根據另外一名前員工的爆料,他們經常從內網系統下載車禍視頻、搞笑的視頻或照片。
由于泄露的信息太多,大約兩周前,《德國商報》的編輯團隊就已經向特斯拉發送了一份完整的關于數據的問題清單,但沒有得到回答。目前,這起事件已經引起德國數據保護中心和荷蘭數據保護局的注意。
站在數據安全防護的角度,360智能汽車安全事業群負責人呂欣鴻認為:“特斯拉安全意識應該是很強的,在車企中做得相當不錯。”但內部員工可以在內網隨意獲取用戶信息,并通過社交平臺相互分享,令人頗感意外。
一位行業人士透露,內部安全才是企業最大的隱患。由于車企競爭激烈,員工相互跳槽頻繁,地下數據交易是行業公開的秘密。“往往在新車還沒發布的時候,造型數據和生產數據就泄露出來,已經見怪不怪了。”
除此之外,本次特斯拉泄露的數據還和車聯網安全有關。
從2014年成立車聯網安全研究團隊起,360在整車安全方面發現了大量的安全漏洞。也是在2014年,360首次破解了特斯拉的車聯網系統,幫助其發現了重要安全漏洞,比如攻擊者可利用該漏洞遠程/近程控制車輛,執行車輛開鎖、鳴笛、閃燈以及車輛行駛中開啟天窗、中間人攻擊、竊聽等操作。
當時,360就向特斯拉提交了漏洞襲擊說明和解決方案,同時提醒特斯拉車主關閉遠程訪問,以避免被攻擊者利用該漏洞進行遠程操控。
如今,全球主流車企雖然都配備了百人以上的安全團隊,同時有第三方專業的安全公司提供一對一的專屬服務。“但即便如此,所有的車企制造和運營汽車時仍存在很大的安全隱患。”呂欣鴻表示,汽車行業的數據安全和隱私保護貫穿了從開發、生產、量產維護及運營甚至報廢的全生命周期。在新車立項之前,團隊就要把開發安全、設計安全、運營安全,還有供應商準入等問題考慮進來。
呂欣鴻指出,最近整車生產能力是國際上一個非常熱門的話題,“但汽車的生產制造周期很長,通常在24-48個月之間,很難有人具備規劃思維、提前想好兩年之后的事情,這需要超乎一般人的認知。”
2023年4月17日,由于車聯網云服務平臺設置錯誤,豐田日本車主的數據庫“門戶大開”,約215萬日本用戶的車輛數據蒙受泄露風險。而豐田的個人隱私泄漏安全隱患,竟已暴露長達十年時間——問題的根源就在于車聯網沒有安全保護機制。
呂欣鴻指出,十年前,全球各大車企的汽車就具備了基礎的車聯網功能。當時汽車4S店的營銷和汽車維護方,已經掌握了大量的車主隱私信息。但是,車企的主業不是做安全,他們更多關注的是整車的生產、營銷、產品功能,而對于安全的意識“遠遠不夠”。
再比如,2022年12月23日,蔚來收到外部勒索郵件,勒索方表示擁有蔚來內部數據,并以數據泄露為威脅勒索225萬美元的比特幣。經過蔚來汽車內部初步的調查,承認被竊取的數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。
盡管蔚來表示,已對公司的信息安全體系進行隱患排查和安全強化,并將加強技術力量,提升信息系統的安全防護能力,充分保護用戶信息安全。“但很多車企連‘溫飽’還沒有解決,每年讓他砸20億養一個安全團隊,根本不現實。”呂欣鴻坦言,現階段部分車企為了沖銷量創業績,主機廠自然會把汽車營銷置于第一位,普遍缺乏安全意識,導致沒有足夠多的預算投入到安全建設之中。
而這次特斯拉的數據泄露事件,必然會促使汽車行業對數據安全和隱私保護的進一步思考。特別是在汽車智能化時代,為“裸奔”的信息數據加把“鎖”,正在變得越來越重要。
自動駕駛道阻且長
前不久,馬斯克接受CNBC的專訪時,談到自己的作息時間表示,每周工作7天,每天只睡6個小時。他甚至試著“每天再少睡一會兒”,但后來覺得這樣只會讓白天的工作效率下降。
雖然馬斯克每天都在賣力工作,不過《德國商報》認為,他并沒有把精力放到更應該關注的地方上,比如數據安全。
在這次隨“特斯拉文檔”一起泄露的數據中,有數千份關于特斯拉Autopilot(自動輔助駕駛系統)和FSD(full self- driving,完全自動駕駛系統)的問題報告。這讓馬斯克引以為傲的自動駕駛成為眾矢之的。
這些數據涉及從2015年到2022年3月期間生產的特斯拉汽車。大多數投訴來自美國,也包括部分歐洲和亞洲客戶反映的問題。
其中,有大約4000起客訴把矛頭指向了車輛突然加速或制動故障的問題,以及3000多起對駕駛員輔助系統安全性的擔憂。
從2015年開始,就有大量關于特斯拉失控的報道。比如在美國,至少發生了232起此類案件。但事后,美國國家公路交通安全管理局沒有發現硬件或軟件問題的證據,而是把每一次錯誤歸咎于司機頭上。
為此,《德國商報》聯系了數十名客戶,他們證實了這些投訴是真實的。
一位來自加州的醫生描述了在2021年秋天發生的一起事故。當時,她正要在停車場轉彎時,她的特斯拉突然像賽車一樣加速。“我試圖轉向,但撞上了水泥柱,”該車主回憶說。“水泥柱被摔倒了,但車沒有停下來。車又撞上了最近的路樁。安全氣囊爆了,我驚呆了。”
此外,超過1500起投訴稱特斯拉的剎車有問題,包括139起“幽靈剎車”和383起“幽靈熄火”。2022年2月,在《華盛頓郵報》的一篇文章引發外界對該問題的關注后,美國國家公路交通安全管理局收到了數百起投訴,并對特斯拉的“幽靈剎車”問題展開了安全調查。但問題仍然存在,在特斯拉向所有車主開放其FSD測試版計劃后,去年感恩節期間發生了8車相撞的事故。
對于這些客訴,特斯拉的內部規定是:盡可能減少書面承諾,信息口頭傳達給客戶,避免留下證據。每個事件都有“技術審查”的要點,但只能“內部使用”。每個條目還要求信息只能“口頭傳達給客戶”,并且車輛數據不得對外發布。如果無法阻止律師的介入,則必須記錄下來。
為了阻止《德國商報》揭露這背后的問題,特斯拉曾試圖阻止這些數據的使用,并威脅要采取法律行動。不過《德國商報》仍然決定使用這些數據,并聲稱根據歐盟法律,在特殊情況下,報告非法獲得的數據是合法的。
目前,特斯拉提供兩種類型的自動駕駛技術:全自動駕駛(FSD)和AutoPilot。FSD針對城市交通和城市道路,在中國還沒有上市,不過有傳言說它很快就會到來。AutoPilot則是一種標準的ADAS系統,于2015年率先上線,主要用于高速公路駕駛。
伴隨著FSD的問世,美國消費者對它的質疑不斷。數據顯示,近一年來,涉及特斯拉Autopilot的事故共有273起。此次泄露的文件中,關于Autopilot和FSD最早的投訴可以追溯到2015年,最近的投訴可以追溯到2022年3月。大多數投訴來自美國,也有歐洲和亞洲客戶的問題反映在數據中。
2022年2月,在《華盛頓郵報》的一篇文章引發外界對該問題的關注后,美國國家公路交通安全管理局對特斯拉的“幽靈剎車”問題展開了安全調查。但問題仍然存在。
即便如此,馬斯克對自動駕駛仍表現出十分樂觀。他篤定FSD一定會比人類駕駛員安全得多,一定比人類駕駛員安全十倍。為了讓FSD越來越好,特斯拉當下有兩大重點,一是提高安全性,二是推動FSD早日落地。
顯然,特斯拉正陷在安全里,能不能拔出來,還需要時間驗證。
正在改變與想要改變世界的人,都在虎嗅APP