Tesla уличили в беспрецедентной небрежности по отношению к клиентам

Личные данные владельцев Tesla оказались в продаже на eBay

Чем больше интеллектуальных функций у электронного устройства, тем больше в нем потенциальных брешей в безопасности. Эту печальную истину лишний раз подтвердила компания Tesla, чья продукция является самыми настоящими «гаджетами на колесах». Личные данные владельцев высокотехнологичных машин смогли легко извлечь из продаваемых на eBay подержанных бортовых компьютеров электромобилей.

«Белый хакер» GreenTheOnly приобрел на интернет-аукционе eBay несколько бортовых компьютеров от электромобилей Tesla разных моделей. Среди купленной электроники были мультимедийные блоки (MCU — media control unit, что-то вроде супернавороченной магнитолы в обычном авто) и модули автопилота (HW — компьютер, отвечающий за функции автопилота и полностью автономного вождения). Результатами своих исследований он поделился с изданием InsideEVs и компанией-производителем.

В результате анализа хакер выяснил, что на этих запчастях сохранилось огромное количество персональных сведений прежних владельцев — записи календаря, телефонные книги и журналы звонков, сохраненные с подключенных в прошлом смартфонов, маршруты, пользовательские точки на карте (дом, работа и тому подобное), а также пары логин-пароль или «куки» от стриминговых сервисов (Netflix, Spotify), учетные данные Wi-Fi сетей и даже иногда фотографии водительских прав. В большинстве случаев данные даже не были удалены — только один из компьютеров сбрасывали до заводских настроек, но информация не перезаписывалась, так что восстановить ее было несложно.

«Белый хакер» GreenTheOnly смог легко получить доступ к личным данным прошлых владельцев электромобилей Tesla купив бортовые компьютеры на eBay

Большое количество подержанных MCU, HW и даже ICU (более новый бортовой компьютер, представляющий из себя оба старых блока в одном модуле) доступны на различных торговых онлайн-площадках. Они появляются в продаже после того, как происходит обновление автомобилей Tesla в связи с апгрейдом функций, гарантийной заменой или при обещанном компанией расширении возможностей уже проданных машин. Номинально, сервисные центры обязаны бывшие в употреблении блоки разбивать молотком и отправлять на утилизацию.

Однако, фактически, даже поврежденные ручным инструментом модули все равно сохраняют пользовательские данные и GreenTheOnly смог из легко извлечь их из одного MCU со следами сильных ударов на корпусе. С момента обнаружения массовой утечки, когда хакер обратился в Tesla со своей находкой (27 апреля), и даже после публикации InsideEVs (3 мая) Tesla пока никак не прокомментировала сложившуюся ситуацию. В компании лишь пообещали уведомить о компрометации личных данных одного клиента, чей бортовой компьютер оказался героем статьи.