El pirata informático compra piezas viejas de Tesla en eBay, las encuentra llenas de datos de usuarios

Volante y centro de infoentretenimiento para un coche Tesla.
Ampliar / Dentro de un Tesla.

Los sistemas de información y entretenimiento de Tesla son una maravilla para la vista. Entre otras cosas, ven videos de Netflix o Youtube, ejecutan Spotify, se conectan a Wi-Fi y obviamente almacenan los números de teléfono del contacto. Pero estas ventajas requieren almacenar una gran cantidad de información personal que un investigador aficionado ha descubierto que puede revelar los datos más confidenciales de los propietarios.

El investigador, quien se describió a sí mismo como un «experto en Tesla curioso acerca de cómo funcionan las cosas», recientemente obtuvo acceso a 13 MCU Tesla, abreviatura de unidades de control de medios, que fueron retiradas de vehículos eléctricos durante reparaciones y renovaciones. Cada uno de los dispositivos archivó una gran cantidad de información confidencial a pesar de ser retirado. Los ejemplos incluyen directorios de teléfonos móviles conectados, registros de llamadas que contienen cientos de entradas, entradas recientes del calendario, contraseñas de Spotify y W-Fi almacenadas en texto sin formato, ubicaciones para el hogar, el trabajo y todos los lugares visitados y cookies de sesión que han permitido acceso a Netflix y YouTube (y cuentas de Gmail adjuntas).

Los 13 dispositivos mostraron que su última posición fue en un centro de servicio de Tesla, una indicación de que habían sido retirados por un técnico autorizado de Tesla. Las gasolineras Tesla eliminan las MCU por varias razones. Por lo general, debe reemplazar un dispositivo defectuoso o cambiar a un modelo de dispositivo más nuevo y avanzado que mejore el piloto automático del vehículo.

Tus datos en eBay

El investigador, que pasa por el mango greentheonly, me dijo que obtuvo 12 de las unidades de eBay de páginas como esta. Tomó el otro de un amigo. Según las conversaciones que ha tenido, cree que el procedimiento oficial de Tesla requiere que las MCU retiradas se devuelvan intactas a Tesla y que las unidades dañadas se golpeen para garantizar que los conectores estén suficientemente dañados y luego se tiren a la basura.

«Parece que algunos empleados del centro de servicio venden unidades intactas en lugar de devolverlas (supongo que solo crean un registro de destrucción / eliminación internamente)», dijo el investigador en una entrevista. «Conozco a algunas personas que dirigen patios de rescate que dicen que es una fuente de unidades que tienen a la venta».

Los representantes de Tesla no enviaron un correo electrónico preguntando sobre la política de la compañía para administrar las MCU retiradas de los vehículos.

El descubrimiento de greentheonly revela un riesgo no solo para los propietarios de Tesla sino también para los conductores de cualquier vehículo que tenga dispositivos a bordo que almacenen datos personales o proporcionen monitoreo remoto. Un hombre que alquiló vehículos Ford del Enterprise Rent-a-Car informó que tenía la capacidad de arrancar, detener, bloquear y desbloquear vehículos de forma remota mucho después de devolverlos no solo una vez, sino una segunda vez cuatro meses después. el primero Como en el caso de que las MCU de Tesla regresen al mercado, la incapacidad de las compañías de alquiler de exigir a los empleados que eliminen por completo los sistemas de información y entretenimiento de todos los datos anteriores del cliente representa un riesgo de seguridad y privacidad que podría evitarse fácilmente. .

La moraleja de estas historias es que depende de las personas realizar un restablecimiento de fábrica cuando venden un automóvil, devuelven un vehículo alquilado o hacen reparar un sistema de infoentretenimiento. Nuevamente, no hay garantía de que los datos almacenados previamente no puedan recuperarse. El investigador dijo que las MCU de Tesla mantienen la información en una base de datos SQLite que no se elimina hasta que el disco duro la bloquea son sobrescritos por nuevos datos. Si bien un restablecimiento de fábrica puede no ser infalible, es probable que dificulte el proceso de recuperación y tome el tiempo suficiente para proporcionar una defensa significativa, aunque imperfecta. Siempre que sea posible, aquellos que son verdaderamente conscientes de la seguridad deben destruir unidades.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *