入职 3 天“窃取”上万个代码文件,特斯拉起诉前软件工程师!
作为技术人,需要时刻谨记版权意识。
今年 1 月初,特斯拉在雇用一名软件自动化工程师后,立即进行解雇处理,原因是特斯拉发现该名员工涉嫌窃取有关自动驾驶汽车的专有信息。
现在,特斯拉也正在起诉该工程师。
前因后果
事实上,一直以来,特斯拉在自动驾驶、电池管理、用户连接能力等技术方面,构建了独一无二的核心竞争力,也成为自动驾驶领域的佼佼者。其中,2012 年,面对日益增大的生产规模,特斯拉基于管理、用户连接等方面自研并使用了统一的后端 WARP Drive ERP 系统。几年前,特斯拉首席信息管 Jay Vijayan 曾在接受媒体采访时表示:
Elon Musk(特斯拉 CEO)的愿景是建立一个垂直集成的组织,使部门之间的信息流可以无缝沟通与协作,同时,我们对客户的反馈建议流程也形成了一个闭环。基于此,我们可以以最快的方式为我们的客户提供最佳的产品、服务和整体体验。
自此,凭借 WARP Drive ERP 系统,特斯拉不仅摆脱高昂的产品费,而且构建了自己的软硬件生态体系。而 WARP Drive ERP 系统本身,也包含了特斯拉许多重要的后端软件,这些软件可以使得特斯拉的许多流程自动化,譬如从购买到制造再到库存。
据外媒报道,2020 年 12 月 28 日,特斯拉聘用了如今的被告人 Alex Khatilov 作为质量保证工程师,主要负责编写脚本,由此使用 Python 脚本自动执行各种业务任务,最终帮助特斯拉实现环境健康与安全系统自动化,而这些脚本正是在我们上文所提及到的 WARP Drive ERP 系统上运行。
在 2020 年 12 月 31 日-2021 年 1 月 4 日以及 2021 年 1 月 6 日间,特斯拉的信息安全团队在其网络监控软件中检测到 26,377 个文件传输警告,而这些来自于 Alex Khatilov 的账号。
据诉讼书显示,在任职的三天内,Khatilov 通过从特斯拉的安全内部网络窃取数千个与特斯拉业务流程的自动化相关文件,并将其转移到他的 Dropbox(云存储软件)帐户。
同时特斯拉表示,这些文件包含了特斯拉花费了多年的时间来构建的专有软件代码的“脚本”。这些脚本文件在运行时,可自动执行特斯拉在整个业务中的各种功能,包括供应链、库存、产品计划等。
在特斯拉约 50000 名员工中,只有质量保证工程团队的 40 名工程师才有权限访问这些文件,而 Khatilov 作为新加入的成员,也具备访问这些文件的权限。
当特斯拉的信息安全团队确认已被传输的文件中包含特斯拉专有信息且这一举措违反了公司政策后,特斯拉高级安全情报调查员 David Schertzer 对此展开调查。
根据 Schertzer 的证词,当天他和其他特斯拉调查组成员通过远程聊天工具对 Khatilov 进行了沟通调查,当提及将哪些文件复制到其 Dropbox 帐户时,Khatilov 最初坚持称这些文件属于私人性质,包含护照扫描件以及 W-4 表格(由雇主提供给新雇员,以确定从雇员的工资中扣除多少联邦和州的所得税)。
然而,当调查员 Schertzer 要求 Khatilov 对其屏幕进行共享时,Schertzer 称对方延迟接受了屏幕共享请求,且在这期间,工程师 Khatilov 正在对其电脑进行快速操作。
最终,在 Khatilov 接受共享屏幕时,Schertzer 表示,该软件工程师称已经卸载了 Dropbox 应用程序。不过 Dropbox 应用程序虽然已经卸载,但是云端会有一些记录。
调查人员在访问 Khatilov 的 Dropbox 帐户时,他们有了一些新发现:
在得到一些提示后,该工程师让特斯拉调查人员可以访问他的 Dropbox 帐户,在那里,特斯拉调查人员发现该工程师说谎:在该工程师的 Dropbox 中,调查人员发现了成千上万的特斯拉机密计算机脚本。
然而,该工程师随后声称他以某种方式“忘记”了他偷走的数千个其他文件(几乎可以肯定是另一个谎言)。
不过,据《纽约邮报》报道,当事人 Khatilov 在此前接受采访时表示,他不知道这起诉讼,同时,他在将一些行政文件备份到 Dropbox 账户时,甚至不知道有 26,000 个文件被保存到他的个人在线存储帐户中。 Khatilov 坚持认为这是一个错误,Dropbox 会自动复制他在入职过程中安装的 Python 文件。
目前,Khatilov 按照特斯拉的指示删除了所有内容。
但是,特斯拉仍然将发起诉讼,且该公司在诉讼书中解释起诉该工程师的理由:“特斯拉不知道他(Khatilov)是否下载了其他文件,他是否在被抓捕前几天将文件从 Dropbox 帐户复制到其他地方,或者是否发送了任何文件给其他人或企业。”
特斯拉公司软件质量保证工程高级经理 Golda Arulappan 在法庭诉讼书中表示:“这些脚本文件对竞争对手来说非常有价值。如果其他工程师访问这些脚本文件,那么就能够对特斯拉的流程进行逆向工程,并花费少量的时间就能创建一个类似于特斯拉的系统。”
如何避免面向监狱编程?
无独有偶。这并不是特斯拉第一次指控员工将特斯拉商业秘密非法下载或带回家的诉讼。
据外媒 The Verge 报道,2019 年,特斯拉针对多名前雇员和自动驾驶汽车公司 Zoox 提起诉讼,涉嫌盗用公司商业机密。特斯拉表示,四名前雇员窃取了“专有信息和商业机密,以帮助 Zoox 开发和运营仓储、物流和库存控制操作所需的工作”。
此外,特斯拉也曾指控前雇员曹光植(Guangzhi Cao)在中国电动车制造商小鹏汽车公司工作之前就窃取了该公司 Autopilot 驾驶辅助功能相关的源代码。不过,特斯拉前工程师曹广志(Guangzhi Cao)在后来提交给法庭的一份文件中承认,他在 2018 年底还在为特斯拉工作时,将包含 Autopilot 源代码的压缩文件上传到了自己的 iCloud 个人账户,但否认窃取特斯拉的敏感信息。
如今针对本次事件,还在进一步调查中,也相信真相会有大白的一天。
不过,作为行业奋战在一线的技术人,我们需时刻保持及增强版权保护意识,避免面向监狱编程,日常中也要谨记程序员在工作时间为完成公司安排而完成的代码,版权实则属于公司,拷贝需谨慎。
参考:
https://electrek.co/2021/01/23/tesla-claims-software-engineer-stolen-critical-automated-software-warp-drive-system/
☞IBM 中国研究院全面关闭;6 亿条个人信息泄露,非法获利 800 万;华为聘请前巴西总统 | 极客头条
☞编程语言也有中年危机,Java 为何一直被唱衰?
☞程序员,技术的“背锅侠”,盘点 2020 年面向监狱编程的那些事!
☞因开源协议“大打出手”,AWS 宣布创建 Elasticsearch、Kibana 分支