Tesla gelekte wachtwoorden van auto-eigenaren
Waar moet je heen als je de persoonlijke gegevens van anderen in handen wilt krijgen? Welnu, het dark web herbergt een aantal marktplaatsen waar cybercriminelen de informatie en inloggegevens van mensen verkopen. Als je je weg kent in gespecialiseerde zoekmachines zoals Shodan, kun je ook servers vinden met miljoenen records die niet zijn beveiligd met een wachtwoord. Het blijkt dat je privégegevens en wachtwoorden ook kunt vinden in oude Tesla-infotainmentsystemen die ook op eBay worden verkocht.
Table of Contents
Een beveiligingsonderzoeker vindt oude Tesla-computers die tonnen privégegevens bevatten
@Greentheonly, een beveiligingsonderzoeker en Tesla-eigenaar die bekend was aan zijn Twitter-handvat, vroeg zich af wat de werking van de infotainmentsystemen in auto's die zijn gebouwd door 's werelds favoriete EV-fabrikant. Misschien niet verrassend, besloot hij niet door de computer van zijn eigen auto te snuffelen en in plaats daarvan koos hij ervoor om een handvol tweedehands units van eBay te kopen. De apparaten waren relatief goedkoop en een van de modules was zelfs beschadigd, wat hem bijzonder goedkoop maakte. De gegevens die erin waren opgeslagen, waren echter nogal waardevol.
Alle infotainmentsystemen bevatten een groot aantal privégegevens van de vorige eigenaren. Dit omvat thuis- en werklocaties, wifi-wachtwoorden, oproeplijsten, adresboeken en agenda's gesynchroniseerd vanaf gekoppelde mobiele telefoons en sessiecookies voor verschillende online services. Met deze sessiecookies zou Green de Netflix- en Gmail-accounts van mensen kunnen kapen, en het zou nog eenvoudiger zijn geweest om hun Spotify-afspeellijsten te wijzigen omdat de wachtwoorden voor de muziekstreamingservice in leesbare tekst waren opgeslagen in de infotainmentsystemen.
Gelukkig was hij niet van plan de online privacy van vreemden te schenden, daarom deelde hij zijn bevindingen met InsideEVs.com, en uiteindelijk slaagde hij erin de vorige eigenaren van vier van zijn eBay-apparaten te bereiken. Hun verhalen bewijzen dat het lek niet alleen is veroorzaakt door twijfelachtige ontwerpbeslissingen met betrekking tot de beveiliging van de eenheden.
De apparaten hadden helemaal niet op eBay mogen verschijnen
De vorige eigenaren kunnen op geen enkele manier de schuld krijgen van het lek. Ze hebben de eenheden niet zelf uit de auto's gerukt. In plaats daarvan namen ze deel aan een door Tesla georganiseerd programma waarin de EV-fabrikant nieuwere, verbeterde computers aan sommige van de oudere auto's aanpast. Het heeft allemaal te maken met het aanpakken van prestatieproblemen met de oude systemen die niet kunnen worden verholpen met een draadloze update, en Tesla doet de retrofit gratis.
Een naadloze overgang betekent dat de persoonlijke gegevens van de autobezitter van de oude computer naar de nieuwe worden overgebracht. Om welke reden dan ook, Tesla laat de eigenaren hun oude apparaten niet terug krijgen. In plaats daarvan behoudt het de units en volgens de bronnen van InsideEVs.com schrijft het beleid in de servicecentra van Tesla voor dat technici de verouderde computers moeten beschadigen voordat ze worden weggegooid.
Het feit dat Green minstens drie eenheden in onberispelijke staat van eBay heeft gekocht, toont aan dat dit beleid niet van dichtbij wordt gevolgd. Het feit dat een beschadigde nog steeds de gegevens van de vorige eigenaar lekte, toont aan dat het beleid helemaal niet werkt.
Tesla steekt zijn kop in het zand
Zoals te verwachten waren de eigenaren InsideEVs.com en Green waarmee ze spraken behoorlijk van streek, maar het lijkt erop dat Tesla niet al te graag iets doet om ze te kalmeren. Voordat Green contact opnam met InsideEVs.com, probeerde Green zelf contact op te nemen met Tesla, maar het bedrijf van Elon Musk negeerde hem. De fabrikant reageerde op InsideEVs.com en beloofde dat het contact zou opnemen met ten minste een van de vier eigenaren wiens gegevens door Green waren gevonden. Een week later zei de eigenaar echter zelf dat ze niets van Tesla had gehoord.
InsideEVs.com stelde ook enkele vragen over wie verantwoordelijk is voor deze grove schending van de privacy en over de mechanismen voor gegevensopslag van het apparaat. Tesla koos ervoor om ze te negeren.
Moderne auto's zijn veel meer geworden dan alleen een manier om van A naar B te komen. Op dezelfde manier zijn moderne autofabrikanten niet alleen winstgevende bedrijven met als enige verantwoordelijkheid de aandeelhouders tevreden te houden. Of je het nu leuk vindt of niet, ze zijn nu onder meer verantwoordelijk voor het veilig houden van onze gegevens, en het is duidelijk dat Tesla het in dit specifieke geval niet spectaculair heeft gedaan.
