Tesla выбрасывает компьютеры без очистки данных, что приводит к компрометации учетных записей некоторых клиентов. Будьте осторожны, если Tesla когда-либо заменяла бортовой компьютер вашего автомобиля.
С обновлением автопилота Tesla и недавно анонсированным обновлением MCU2 в дополнение к регулярным заменам по причине проблем с производительностью, Tesla сейчас меняет большое количество компьютеров в своих автомобилях.
Теперь тот факт, что на eBay появляется много подержанных компьютеров Tesla, вызывает вопросы о процессе утилизации этих компьютеров, которые часто могут содержать конфиденциальную информацию, такую как имена пользователей и пароли Google или Spotify.
Что еще более тревожно, эти пароли, похоже, не зашифрованы.
Это та информация, которую можно использовать для взлома пользователя и которая может быть описана как компрометация учетных записей клиентов.
Хакер Green приобрел несколько таких компьютеров и смог найти много такой информации о предыдущих владельцах.
К счастью, первое, что он сделал, — связался с Tesla и сообщил им об уязвимости.
Автопроизводитель сообщил ему, что они проводят расследование по этому вопросу, но, похоже, расследование не было воспринято слишком серьезно.
Green сообщил Electrek, что когда он поделился с Tesla VIN-номерами полученных устройств, ему ответили, что эти устройства были «украдены» у них.
Однако, похоже, Tesla может трактовать слово «украдены» в расширенном смысле.
Green предоставил Electrek доказательства того, что эти компьютеры можно найти в мусорных баках сервисных центров Tesla.
Он написал в Твиттере:
Я связался со службой безопасности Tesla по надлежащим каналам, и они разбираются. Но учитывая, что устройства выбрасываются как есть по процедуре — я даже не уверен, можно ли кого-то в этом винить. В лучшем случае: «Почему бы вы хоть молотком по нему не прошлись?»
Tesla утверждает, что компьютеры должны быть очищены перед утилизацией, но он осведомлен только о процедуре сброса, которая может быть выполнена на заводе, но не в сервисных центрах.
Либо люди роются в мусоре, чтобы забрать их и продать перекупщикам, и в итоге они попадают на eBay, что вряд ли можно назвать «кражей», либо сами сотрудники Tesla продают компьютеры.
Вы можете увидеть множество из них в продаже на сайте:
Green сообщил Electrek, что он даже слышал о том, что сотрудники Tesla продают компьютеры сторонним ремонтникам Tesla:
Я знаю некоторых людей, которые занимаются неавторизованным ремонтом, и они говорят, что сотрудники Tesla приносят такие устройства.
Он добавил в Твиттере:
Я больше беспокоюсь о людях, которые уже пострадали, это нельзя исправить задним числом, поэтому я попытался попросить Tesla обязаться провести быстрое реагирование на основе любых имеющихся у них внутренних данных. Но я не могу добиться от них даже графика.
Я не юрист, так что понятия не имею, как применяются законы о нарушении безопасности.
— green (@greentheonly) 3 мая 2020 г.
Tesla сообщила Green, что они свяжутся с людьми, пострадавшими от утечки информации, но не предоставили четких сроков.
Electrek связался с Tesla по этому вопросу, и мы обновим информацию, если получим ответ.
Мнение Electrek
Ну, это глупо.
Во-первых, эти компьютеры вообще не должны попадать в мусорные баки, они должны утилизироваться, и, очевидно, сначала должны быть очищены. И даже если эти вещи будут найдены, информация должна быть зашифрована, чтобы ее было по крайней мере крайне трудно получить, если они попадут не в те руки.
В ближайшие месяцы тысячи компьютеров Tesla окажутся в такой ситуации, а в следующем году — вероятно, сотни тысяч. Это своего рода пустая трата оборудования, если спросить меня.
Tesla должна внедрить гораздо более надежную процедуру, прежде чем это произойдет, и им нужно исправить ситуацию для людей, которые уже получили обновление компьютера, и сообщить им, что они должны сменить пароли.
Если у вас есть связанные учетные записи в вашем Tesla, и ваш компьютер был обновлен, вам определенно следует это сделать.