Tesla Leaked Hasła właścicieli samochodów
Dokąd musisz się udać, jeśli chcesz zdobyć dane osobowe innych osób? W ciemnej sieci znajduje się wiele rynków, na których cyberprzestępcy sprzedają informacje i dane logowania użytkowników. Jeśli znasz się na specjalistycznych wyszukiwarkach, takich jak Shodan, możesz także znaleźć serwery pełne milionów rekordów, które nie są chronione hasłem. Jak się okazuje, prywatne dane i hasła można znaleźć również w starych systemach audio-informacyjnych Tesla sprzedawanych w serwisie eBay.
Table of Contents
Badacz bezpieczeństwa znajduje stare komputery Tesli, które zawierają mnóstwo prywatnych informacji
Badacz bezpieczeństwa i właściciel Tesli znany ze swojego uchwytu na Twitterze, @greentheonly zastanawiał się nad wewnętrznym działaniem systemów audio-nawigacyjnych montowanych w samochodach wyprodukowanych przez ulubionego na świecie producenta pojazdów elektrycznych. Być może nie jest zaskakujące, że postanowił nie przeglądać komputera własnego samochodu i zamiast tego zdecydował się kupić kilka używanych pojazdów w serwisie eBay. Urządzenia były stosunkowo niedrogie, a jeden z modułów został nawet uszkodzony, przez co był wyjątkowo tani. Dane w nich przechowywane były jednak dość cenne.
Wszystkie systemy informacyjno-rozrywkowe zawierają szereg prywatnych danych należących do poprzednich właścicieli. Dotyczy to lokalizacji domu i pracy, haseł Wi-Fi, list połączeń, książek adresowych i kalendarzy zsynchronizowanych ze sparowanymi telefonami komórkowymi oraz sesyjnych plików cookie dla różnych usług online. Te sesyjne pliki cookie pozwoliłyby Greenowi przejąć konta Netflix i Gmaila innych osób, a jeszcze łatwiej byłoby im zmienić ich listy odtwarzania Spotify, ponieważ hasła do usługi przesyłania strumieniowego muzyki były przechowywane w postaci zwykłego tekstu w systemach audio-nawigacyjnych.
Na szczęście nie miał zamiaru naruszać prywatności online nieznajomych, dlatego podzielił się swoimi odkryciami z InsideEVs.com i ostatecznie udało mu się dotrzeć do poprzednich właścicieli czterech swoich urządzeń eBay. Ich historie dowodzą, że wyciek nastąpił nie tylko z powodu wątpliwych decyzji projektowych dotyczących bezpieczeństwa urządzeń.
Jednostki nie powinny w ogóle pojawiać się na eBayu
Nie można w żaden sposób obwinić poprzednich właścicieli za wyciek. Nie zerwali jednostek z samych samochodów. Zamiast tego wzięli udział w programie organizowanym przez Teslę, w którym producent pojazdów elektrycznych modernizuje nowsze, ulepszone komputery do niektórych starszych samochodów. Wszystko to ma związek z rozwiązywaniem problemów wydajnościowych ze starymi systemami, których nie można naprawić za pomocą aktualizacji bezprzewodowej, a Tesla dokonuje modernizacji za darmo.
Płynne przejście oznacza przeniesienie danych osobowych właściciela samochodu ze starego komputera na nowy. Jednak z jakiegokolwiek powodu Tesla nie pozwoli właścicielom odzyskać starych urządzeń. Zamiast tego utrzymuje jednostki i, zgodnie ze źródłami InsideEVs.com, polityka w centrach serwisowych Tesli nakazuje technikom zniszczenie przestarzałych komputerów przed ich wyrzuceniem.
Fakt, że Green kupił od eBay co najmniej trzy jednostki w nieskazitelnym stanie, świadczy o tym, że nie przestrzegano ściśle tej polityki. Fakt, że z uszkodzonego nadal wyciekły dane poprzedniego właściciela, świadczy o tym, że zasada w ogóle nie działa.
Tesla chowa głowę w piasek
Jak można się spodziewać, właściciele InsideEVs.com i Green rozmawiali z nimi bardzo zdenerwowani, ale wygląda na to, że Tesla nie chce zbytnio ich uspokoić. Przed skontaktowaniem się z InsideEVs.com Green próbował skontaktować się z samą Teslą, ale firma Elona Muska zignorowała go. Producent odpowiedział na InsideEVs.com i obiecał, że skontaktuje się z co najmniej jednym z czterech właścicieli, których dane znaleziono w firmie Green. Jednak tydzień później sama właścicielka powiedziała, że nie słyszała ani słowa od Tesli.
InsideEVs.com zadał również kilka pytań na temat tego, kto jest odpowiedzialny za to rażące naruszenie prywatności oraz na temat mechanizmów przechowywania danych w urządzeniu. Tesla postanowił je zignorować.
Nowoczesne samochody stały się czymś więcej niż tylko sposobem na przejście z punktu A do punktu B. W podobny sposób współcześni producenci samochodów to nie tylko dochodowe korporacje, których wyłączną odpowiedzialnością jest dbanie o zadowolenie akcjonariuszy. Czy im się to podoba, czy nie, odpowiadają oni między innymi za bezpieczeństwo naszych danych i jasne jest, że w tym konkretnym przypadku Tesla nie zrobiła tego dość spektakularnie.