睿联技术:自主品牌线上销售排行或“掺水” 产品信息安全漏洞频发存隐忧

《金证研》北方资本中心 易安/作者 简至 汀鹭/风控

2022年5月,Portus Singapore Pte Ltd与Portus Pty Ltd两家公司,起诉深圳市睿联技术股份有限公司(以下简称“睿联技术”)子公司侵犯其专利权。同年8月,睿联技术该子公司再次因专利侵权纠纷被KT Imaging USA, LLC起诉。

此番上市,睿联技术自主品牌“Reolink”,在谷歌的搜索热度、亚马逊销售排行、协会公布的摄像头排名中,或均不及竞争对手,其中,睿联技术称其品牌“在亚马逊排名大概在第三名”,但其品牌未出现在亚马逊销量排行前十。另一方面,睿联技术产品因存在信息安全漏洞,于境内、境外均被相关监管部门“点名”,令人唏嘘。

 

一、自主品牌搜索热度向后看齐,自诩品牌线上销售平台排名第三或“掺水”

克岐克嶷,知章知微。睿联技术于2015年开始运营自主品牌“Reolink”,该品牌“含金量”或待商榷。

 

1.1 2015年开始通过线上渠道运营自主品牌Reolink,产品主要销往境外

据睿联技术签署于2022年12月20日的招股说明书上会稿(以下简称“招股书”),睿联技术主要从事自主品牌“Reolink”的家用视频监控产品软硬件的研发、生产和销售,以线上平台为主要销售渠道,重点面向海外消费市场。

2019-2021年及2022年1-6月,睿联技术境外销售产品收入占当年合计产品销售收入的比例分别为99.93%、99.99%、99.87%、99.98%,主要销售区域包括美国、欧洲等。

此外,睿联技术的主要经营模式为专注于家用视频监控细分市场,以“技术+品牌”为核心,依托本土成熟的电子制造产业链优势,组织研发、采购、生产活动,并以亚马逊、eBay、速卖通、官网等线上平台为主,重点向海外市场的终端消费者提供自主品牌“Reolink”的家用视频监控产品。

根据睿联技术设立以来主营业务及产品、主要经营模式的演变情况,2009-2015年期间是睿联技术发展的第一阶段,睿联技术将主要产品销往欧美等发达国家,成为多家海外知名品牌商的战略合作供应商。

2015年至今是睿联技术的第二阶段,2015年起,睿联技术开始通过线上渠道运营自主品牌“Reolink”,从技术产品型导向逐步升级为技术品牌型导向。

由此得知,睿联技术产品销售以境外线上销售为主,产品主要为自主品牌“Reolink”。

与此同时,睿联技术披露了其线上渠道的主要竞争对手。

 

1.2 招股书表示,全球市占率前四品牌是睿联技术的线上竞争对手

据招股书,睿联技术主要与Amazon.com,Inc.(以下简称“亚马逊”)旗下的品牌Ring和Blink、Arlo Technologies,Inc.旗下的品牌Arlo、Wyze Labs旗下的品牌Wyze、Google LLC旗下的品牌Nest等海外品牌商在线上渠道直接竞争。

Strategy Analytics报告显示,2021年,品牌Ring、Arlo、Wyze、Nest在全球家用摄像机市场占有率排名分别为第一、第二、第三、第四。睿联技术的品牌Reolink未参与Strategy Analytics的市场统计排名。

也就是说,睿联技术将全球前四品牌Ring、Arlo、Wyze、Nest视为线上渠道竞争对手,但在市占率上未直接进行对比。

而问题尚未结束。

 

1.3 对比前四品牌,睿联技术的“Reolink”品牌GoogleTrends搜索热度“向后看齐”

据GoogleTrends数据,以关键词搜索热度统计,2019年年初,品牌“Ring”、“Nest”、“Arlo”、“Wyze”、“Reolink”的搜索热度分别为18、4、1、<1、<1,2020年年初,上述五个品牌的搜索热度分别为19、5、1、<1、<1,2021年年初,上述五个品牌的搜索热度分别为20、4、1、<1、<1,2022年年初,上述五个品牌的搜索热度分别为21、5、1、<1、<1,2023年年初,上述五个品牌的搜索热度分别为30、5、1、<1、<1。

上述数字代表相对于图表中指定区域和指定时间内最高点的搜索热度。热度最高的字词得100分;热度是前者一半的字词得50分;没有足够数据的字词得0分。

2019年年初、2020年年初、2021年年初、2022年年初、2023年年初,分别指的是2019年1月6日至12日、2020年1月5日至11日、2021年1月3日至9日、2022年1月2日至8日、2023年1月1日至7日。

可见,GoogleTrends的关键词搜索热度中,睿联技术的品牌“Reolink”,搜索热度显然不敌国际品牌“Ring”和“Nest”。

另外,在剔除“Ring”和“Nest”之后,GoogleTrends的关键词搜索热度统计显示,2019年年初,品牌“Wyze”、“Arlo”、“Reolink”的搜索热度分别为11、58、4;2020年年初,上述五个品牌的搜索热度分别为20、58、7;2021年年初,上述五个品牌的搜索热度分别为23、52,10;2022年年初,上述五个品牌的搜索热度分别为27、45、12;2023年年初,上述五个品牌的搜索热度分别为25、49、14。

可以看出,不止国际品牌“Ring”和“Nest”,睿联技术的“Reolink”在GoogleTrends的关键词搜索热度中也不敌“Arlo”和“Wyze”。

值得一提的是,亚马逊是睿联技术重要境外销售平台,睿联技术自称其品牌在该平台排名第三。

 

1.4 称其“自主品牌在亚马逊排名大概在第三名”,实际销售榜单未见其“身影”

据招股书,2019-2021年及2022年1-6月,睿联技术通过亚马逊线上销售的收入分别为3.4亿元、6.49亿元、8.68亿元、4.72亿元,分别占其当期销售收入的65%、67.9%、63.8%、67.06%。

可见,睿联技术通过亚马逊线上销售的收入占比超六成。

据签署于2023年3月27日的《关于深圳市睿联技术股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复》,睿联技术称其自主品牌“Reolink”在主流海外电子商务平台上受到广大消费者认可,其在亚马逊摄像机品类的排名大概在第三名左右,仅次于亚马逊旗下的自主品牌Ring和Blink。

据亚马逊平台公开信息,截至查询日2023年2月28日,在美国亚马逊平台,监控摄像机包括枪机、球型摄像机、隐藏式摄像机。

其中,枪机(子弹头式摄像机)中销售排名前10款产品的排行榜中,品牌Ring、Blink、Nest、Wyze分别占1款、1款、2款、3款,剩余3款产品为其他品牌。

球型摄像机中的销售排名前10款产品的排行榜中,品牌Wyze占1款,剩余9款产品为其他品牌。

隐藏式摄像机中的销售排名前10款产品的排行榜中,品牌Blink占1款,剩余9款产品为其他品牌。

不难看出,截至查询日2023年2月28日,亚马逊的监控摄像机的三类细分产品销量排行榜中,竞争对手品牌Ring、Blink、Nest、Wyze,均有出现,而睿联技术的品牌“Reolink”并未上榜。

且经《金证研》北方资本中心研究发现,截至查询日2023年5月8日,睿联技术的品牌“Reolink”仍未上榜亚马逊的上述三类细分产品销售排行榜。

此外,在国外摄像机协会公布的各类摄像机榜单,未见“Reolink”品牌“身影”。

 

1.5 多个协会公布的摄像机品牌排名中,Reolink均未上榜

据SafeHome协会于2023年1月31日发布的“家庭安全摄像机品牌”排行榜数据,前十品牌分别为Simplisafe、Lorex、Ring、ADT、Wyze、Canary、Nest、Ario、Blink、Kuna。

据business协会于2022年12月5日发布的“2023年小型企业最佳安全摄像机系统”排行榜数据,前五品牌分别为Vivint、Frontpoint、Blink、Nest、Arlo。

据Reviews协会于2021年12月28日发布的“2022年最佳家庭安全摄像机”排行榜数据,前四产品对应品牌分别为Arlo、Ring、Wyze、Ring。

据security协会于2023年1月23日发布的“2023年最佳家庭安全摄像机” 排行榜数据,前十二品牌分别为 SimpliCam、Lorex、Ring、ADT、Wyze Cam、Arlo、Nest、Blink Camera、Swann SWDVK-445802V、eufy 2K Camera、Zmodo、Ecobee SmartCamera。

可以发现,在上述4个国外摄像机协会发布的排行榜中,睿联技术的竞争对手均有上榜,而睿联技术的品牌Reolink未曾上榜。

由此可见,产品以外销为主的睿联技术,2015年开始通过线上渠道运营自主品牌“Reolink”。但睿联技术的自主品牌品牌在谷歌的搜索热度、亚马逊销售排行、协会公布的摄像头排名中,或均不及其竞争对手品牌。其中,睿联技术称其品牌“在亚马逊排名大概在第三名”,但截至查询日2023年5月8日,其品牌未出现在亚马逊销量排行前十。至此,睿联技术的市场份额是否存在“注水”的嫌疑?

 

二、产品信息安全漏洞频发被“点名”,漏洞或未及时修复存隐忧

一针不补,千针难缝。反观睿联技术,其产品信息安全漏洞频发,其中不乏为高危漏洞。而国家信息安全漏洞共享平台显示,睿联技术部分安全漏洞或未及时修复。

 

2.1 被问询是否存在数据泄露导致客户损失情形,睿联技术作出否认回复

据招股书,睿联技术主要从事自主品牌“Reolink”的家用视频监控产品软硬件的研发、生产和销售,以线上平台为主要销售渠道,重点面向海外消费市场。

据签署于2023年3月27日的《关于深圳市睿联技术股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函的回复》,由于睿联技术主要通过跨境电商销售视频监控摄像机产品,同时通过其官网进行产品销售。监管部门提出,睿联技术在报告期内,是否存在数据泄露造成睿联技术及客户损失的情形。

对此,睿联技术回复称,在报告期内2019-2021年及2022年1-6月,其不存在数据泄露造成发行人及客户损失的情形。

事实上,睿联技术产品被“点名”存在多项信息安全漏洞。

 

2.2 产品存在严重信息安全漏洞,被境外监管部门“点名”

据睿联技术官网公开信息,截至查询日2023年5月8日,睿联技术产品型号包括RLC-410W、Reoliink E1 Zoom,均处于售卖中。

需要注意的是,睿联技术的上述产品型号,因存在信息安全漏洞而被国外相关监管部门“点名”。

据公开信息,Information Technology Laboratory NATIONAL VULNERABILITY DATABASE(中文名为美国国家信息安全漏洞数据库,以下简称“NVD”)是美国政府使用安全内容自动化协议(SCAP)表示的基于标准的漏洞管理数据的存储库,实现了漏洞管理、安全测量和法规遵从性的自动化。NVD是包括安全检查表参考、安全相关软件缺陷、错误配置、产品名称和影响指标的数据库。

据NVD公开信息,截至查询日2023年5月8日,Reolink存在的信息安全漏洞累计达91个,其中88个涉及Rlc-410W产品。

具体地,据NVD公布于2019年4月8日的公开信息,编号为CVE-2019-11001的漏洞,是Reolink RLC-410W、C1 Pro、C2 Pro、RLC-422W和RLC-511W设备,经过身份验证的管理员可以使用“TestEmail”功能以root身份注入和运行操作系统命令。该漏洞的严重性为偏高。

据NVD公布于2022年1月28日的公开信息,编号为CVE-2022-21217的漏洞,是reolink RLC-410W v3.0.0.136_20121102设备的TestEmail功能存在越界写入的可能,而攻击者可以发送HTTP请求来触发此漏洞。该漏洞的严重性为严重。

据NVD公布于2022年7月17日的公开信息,编号为CVE-2021-40149的漏洞,是reolink E1 Zoom摄像头设备的Web服务器,通过根Web服务器目录公开其SSL私钥,攻击者可以由此通过self.key URI下载整个密钥。该漏洞的严重性为中等。

需要指出的是,境内监管平台亦公布了睿联技术产品的信息漏洞问题。

 

2.3 产品于境内亦被检测出存在信息安全漏洞,或未及时未修复

据国家信息安全漏洞共享平台于2019年1月17日公布的公开信息,编号为CNVD-2019-01876的漏洞,危害级别为高,睿联技术的Reolink摄像头存在远程命令执行漏洞和两个未授权堆栈溢出漏洞,攻击者可能使用远程命令执行漏洞结合默认凭证admin:空或者弱口令等绕过认证限制远程接管摄像头,该漏洞尚无详细解决方案。

据国家信息安全漏洞共享平台于2022年4月10日公布的公开信息,编号为CNVD-2022-27432的漏洞,危害级别为中,Reolink RLC-410W 3.0.0.13620121102版本存在安全漏洞,攻击者可利用漏洞通过编制的HTTP请求,导致重新启动,该漏洞尚无详细解决方案。

据国家信息安全漏洞共享平台于2022年5月17日公布的公开信息,编号为CNVD-2022-37399的漏洞,危害级别为高,该漏洞系安全摄像头Reolink Rlc-410W存在拒绝服务漏洞,攻击者可利用漏洞通过编制的HTTP请求导致重新启动,且该漏洞未得到修复。

换言之,2019-2022年,无论是境内境外,睿联技术产品被“点名”存在诸多信息安全漏洞,其中部分漏洞或长期未得到修复解决。

 

2.4 相关法规明确指出,网络运营者应确保其产品安全漏洞得到及时修补和合理发布

据《国家网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

据2021年9月1日施行的《网络产品安全漏洞管理规定》第二条规定,境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。

第七条,网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

第八条,网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

此番上市,监管层对睿联技术数据安全问题提出问询,睿联技术回复称尚不存在数据泄露造成其及客户损失。而值得注意的是,根据NVD公布数据,睿联技术产品信息安全漏洞高达九十余项,其中不乏高危漏洞。不止于此,国家信息安全漏洞共享平台显示,睿联技术产品也存安全漏洞,个别或迟迟未得到修复。基于此,睿联技术产品信息安全漏洞问题,是否对其产品销售造成影响?或该打上问号。

不积跬步,无以至千里。睿联技术即将登陆资本市场,又能否迎来投资者的青睐?

 

猜你喜欢