Личные данные владельцев Tesla оказались в продаже на eBay
«Белый хакер» GreenTheOnly приобрел на интернет-аукционе eBay несколько бортовых компьютеров от электромобилей Tesla разных моделей. Среди купленной электроники были мультимедийные блоки (MCU — media control unit, что-то вроде супернавороченной магнитолы в обычном авто) и модули автопилота (HW — компьютер, отвечающий за функции автопилота и полностью автономного вождения). Результатами своих исследований он поделился с изданием InsideEVs и компанией-производителем.
В результате анализа хакер выяснил, что на этих запчастях сохранилось огромное количество персональных сведений прежних владельцев — записи календаря, телефонные книги и журналы звонков, сохраненные с подключенных в прошлом смартфонов, маршруты, пользовательские точки на карте (дом, работа и тому подобное), а также пары логин-пароль или «куки» от стриминговых сервисов (Netflix, Spotify), учетные данные Wi-Fi сетей и даже иногда фотографии водительских прав. В большинстве случаев данные даже не были удалены — только один из компьютеров сбрасывали до заводских настроек, но информация не перезаписывалась, так что восстановить ее было несложно.
Разобранный MCU второй версии из Tesla Model X
Большое количество подержанных MCU, HW и даже ICU (более новый бортовой компьютер, представляющий из себя оба старых блока в одном модуле) доступны на различных торговых онлайн-площадках. Они появляются в продаже после того, как происходит обновление автомобилей Tesla в связи с апгрейдом функций, гарантийной заменой или при обещанном компанией расширении возможностей уже проданных машин. Номинально, сервисные центры обязаны бывшие в употреблении блоки разбивать молотком и отправлять на утилизацию.
Однако, фактически, даже поврежденные ручным инструментом модули все равно сохраняют пользовательские данные и GreenTheOnly смог из легко извлечь их из одного MCU со следами сильных ударов на корпусе. С момента обнаружения массовой утечки, когда хакер обратился в Tesla со своей находкой (27 апреля), и даже после публикации InsideEVs (3 мая) Tesla пока никак не прокомментировала сложившуюся ситуацию. В компании лишь пообещали уведомить о компрометации личных данных одного клиента, чей бортовой компьютер оказался героем статьи.