Poważne naruszenie w ochronie danych osobowych wykryto u producenta samochodów elektrycznych Tesla. Na internetowych aukcjach można kupić komputery, zawierające wrażliwe dane byłych właścicieli, w tym dane dostępowe do konta w serwisie Netflix.
Dostęp do serwisu streamingowego z poziomu samochodu był jednym z kroków milowych firmy kierowanej przez Elona Muska. Teraz okazuje się, że klienci, którzy konfigurowali tam swój dostęp mogą stracić swoje konto. Mało tego, hakerzy mogą wejść w posiadanie takich danych jak: lokalizacja domu i pracy byłego właściciela, wszystkich zapisanych haseł Wi-Fi, wpisów do kalendarza na telefonie, listy połączeń, książek adresowych ze sparowanych urządzeń i innych danych przechowywanych w plikach cookie.
Jak wykryto naruszenia?
Sprawę opisuje amerykański portal InsideEVs, do którego zgłosił się haker o pseudonimie GreenTheOnly. Zdobył on na eBayu cztery komputery pokładowe Tesli, które zostały wymienione w autoryzowanym serwisie. Ich właściciele uaktualnili dzięki temu swoje modele o najnowsze właściwości multimedialne oraz udoskonalili funkcję autopilota. Na każdym z używanych, częściowo uszkodzonych urządzeń bez problemu uzyskał opisane wcześniej dane.
Zanim GreenTheOnly udał się ze sprawą do mediów, poinformował Teslę o problemie. Ta jednak zlekceważyła sprawę, okłamując nawet składającego donos. Firma z Palo Alto zapewniła, że w ciągu tygodnia poinformuje o wycieku danych jedną osobę, wskazaną przez hakera. Nigdy do tego nie doszło, dlatego GreenTheOnly zdecydował się nagłośnić temat.
Dlaczego komputery z danymi krążą w internecie?
Wymiana starych modułów sterujących pracą samochodu to zabieg nie tylko umożliwiający podniesienie możliwości pojazdu (w tym dodanie pakietu FSD – Full Self Driving), ale i zwiększenie niezawodności. Starsze komputery miały regularne awarie po 4-5 latach. Z jednostek nie były usuwane dane, aby skopiować je na nowe komputery właścicieli.
Po zakończonym procesie nieaktualny moduł powinien zostać zniszczony. Procedura w Tesli nakazywała kilkukrotne uderzenie młotkiem i wyrzucenie sprzętu do śmieci. Internetowe aukcje oraz praca hakera pokazały, że nie są to wystarczające kroki w celu usunięcia wrażliwych danych. Prawdopodobnie to sami serwisanci wprowadzają komputery pełne danych osobowych na eBay.
GreenTheOnly dla InsideEVs: Oczywiście nieuszkodzone jednostki sprzedają za więcej, więc sądzę, że istnieje zachęta, aby nie uderzać ich żadnymi młotkami.
Tesla milczy
W poniedziałek, 27 kwietnia Tesla otrzymała zestaw pytań od redakcji InsideEVs z prośbą o wyjaśnienia. Firma Elona Muska milczy od ponad tygodnia i może to być związane z prowadzeniem wewnętrznego śledztwa. Przestępstwa z dziedziny ochrony danych osobowych bywają w Stanach Zjednoczonych bardzo dotkliwe. Nie można wykluczyć, że wkrótce sprawa rozrośnie się do rangi poważnej afery. Wszyscy oczekują obecnie na oświadczenie kalifornijskiej firmy.