下载机密文件被抓现行后“公然销毁”
这些文件包含特斯拉用于一些包括订购零件和交付车辆在内的重要业务的任务流程自动化的代码脚本。这数千种贸易计算机脚本是特斯拉工程师花了数年时间开发的。特斯拉表示,它们是商业秘密,在公司大约 50000 名员工中只有 40 名可以访问。毫无疑问,Alex Khatilov也是有权访问文件的高权限特斯拉员工之一。
特斯拉认为,这些被窃取的商业机密对于特斯拉和竞争对手而言都具有极高的价值,一旦竞争对手得到这些自动化脚本,就可以在短时间内对特斯拉的自动化流程进行逆向工程,创建类似特斯拉的自动化系统,使得竞争对手对特斯拉的全部工作进行仿冒抄袭。因此特斯拉认为, Alex Khatilov 的窃取行为是在“故意和恶意损害”公司的业务。
但Alex Khatilov 并没有承认自己窃取数据的行为,狡辩称自己是“无意中”将文件移到了个人Dropbox中,并且并未将这些文件分享给其他人。但特斯拉对此明显有不同的看法,特斯拉表示,当特斯拉安全团队检测到Alex Khatilov大量下载敏感文件时,便通过视频通话打断其数据窃取行为,但 Alex Khatilov延迟了一分多钟才接电话,在视频通话的过程中还不断操作电脑,可以判断其是在匆忙的删除信息试图破坏证据。至 Alex Khatilov同意共享电脑屏幕时,特斯拉安全团队发现其个人云盘程序Dropbox已经被删除了。
因此1 月 6 日当天,特斯拉解雇了 Alex Khatilov,并与其对簿公堂。Alex Khatilov 辩称,自己下载的文件没有发送给任何其他人,自己删除个人云盘程序Dropbox是为了响应安全部门要求,没有人告知过自己不可以这样做。
特斯拉员工“内鬼”窃取机密数据已不是个例
据调研机构Ponemon的调查,组织内部员工行为是最常见的内部威胁形式,占数据泄露事件的64%,而外部攻击行为只占23%。“IBM X-Force威胁情报指数”调查报告也显示,数据泄露事件的60%源于组织内部威胁。
据了解,作为一家知名科技公司,特斯拉也已经不是第一次起诉或指控前员工窃取重要数据了。
2019 年初,特斯拉起诉了自动驾驶公司Zoox,指控四名曾在特斯拉工作的Zoox员工窃取机密文件,将有关特斯拉制造业的专有信息和商业机密带给了 Zoox,并帮助这家公司跳过了过去几年开发和运行自己的仓储、物流和库存控制业务所需的工作。该案于去年2020年4月达成了和解,Zoox也对“特斯拉的某些新员工”持有特斯拉的文件表示承认。
2019 年 3月,特斯拉指控其一名前工程师曹光植,称对方在跳槽前往小鹏汽车前,将特斯拉自动驾驶系统的源代码复制到其个人帐户和设备中。并曾表示,小鹏汽车使用的自定驾驶软件为特斯拉旧版本,旧版本中的问题并未得到修复。
去年12月,特斯拉汽车公司还起诉了前员工Martin Tripp,指控其盗取了公司大量数据,并向媒体发布虚假声明。特斯拉认为,Martin Tripp入侵了公司系统并将“千兆字节”的数据传输给了第三方。
从此次事件中不难看出,在屡次被“内鬼”泄密暴击后,特斯拉已经逐渐建立起来了一套数据安全防护的机制,才能在又一名员工窃取数据时将其一举抓获。
但特斯拉所掌握的自动化驾驶技术、数据和代码代表着金钱和财富,也是一块极具诱惑力的敲门砖。因此,即便特斯拉拥有了高超的数据防泄漏技术,能够对每名员工的恶意操作行为有效识别和监管,但面对庞大的利益,其内部的“内鬼”或许永远不会消失。
对特斯拉而言,隐藏在内部的安全威胁依然严峻,数据安全保护仍然将是一个长期持续的系统性工程。
参考链接:
https://www.zdnet.com/article/tesla-sues-ex-employee-over-alleged-code-file-theft/
https://securityaffairs.co/wordpress/113808/cyber-crime/tesla-sues-former-employee.html
京公网安备 11010802033237号
