«Hacker» compra piezas usadas de Tesla en eBay y descubre los datos privados de los usuarios
Cada vez más autos son tecnológicos, con filosofías muy similares a las que tenemos en otros dispositivos electrónicos. En este sentido, es esencial cuidar la privacidad de los datos de los usuarios. Aparentemente, Tesla tiene una falla que puede estar revelando datos que deberían haberse eliminado. Alguien descubrió esta falla, compró piezas viejas de Tesla en eBay y las encontró llenas de datos de usuarios.
Según una investigación, estos datos se pueden recuperar incluso después de que los propietarios realicen un restablecimiento de fábrica.
Los sistemas de infoentretenimiento de Tesla son cada vez más completos. Sin embargo, requieren que los propietarios de vehículos accedan a ellos con sus datos integrados. Esta área de entretenimiento en el automóvil le permite, por ejemplo, mirar videos de Netflix o YouTube, ejecutar Spotify, conectarse a la red Wi-Fi y, por supuesto, almacenar números de teléfono.
Sin embargo, estos beneficios requieren el almacenamiento de una gran cantidad de información personal. Al menos eso es lo que encontró un investigador aficionado y que puede revelar los datos más confidenciales de los propietarios.
Los datos del usuario no se borran después de todo
El investigador logró obtener acceso a 13 Tesla MCU. Este es el acrónimo de Unidad de control de medios (Unidad de control multimedia de traducción gratuita). Estas partes fueron retiradas de los autos eléctricos cuando debían repararse o cuando iban a "sacrificar". Por lo tanto, el investigador pudo darse cuenta de que cada uno de los dispositivos almacenaba una gran cantidad de información confidencial, a pesar de haber sido "borrado".
Según lo que se ha descrito, los datos existentes incluían directorios telefónicos de teléfonos inteligentes conectados al automóvil, registros de llamadas, con cientos de entradas, anotaciones de calendario recientes, nombres de usuario y contraseñas para redes de Spotify y WiFi almacenadas en texto abierto. Además, había rutas de GPS a la casa del propietario, al lugar de trabajo y a todos los lugares para navegar. Finalmente, todavía era posible encontrar cookies de sesión que permitieran el acceso a Netflix y YouTube (y las cuentas de Gmail adjuntas).
Los 13 dispositivos mostraron que su última ubicación estaba en un centro de servicio de Tesla. Dicha información puede revelar que estas piezas han sido eliminadas por un técnico autorizado de Tesla. Las estaciones de servicio Tesla eliminan las MCU por varias razones. Entre las razones más comunes están los defectos en la unidad, el cambio a una versión más moderna y más avanzada (cuando se trata de mejorar el piloto automático del vehículo).
Datos privados de usuarios de Tesla en Ebay
El investigador, con el nombre de usuario @greentheonly, dijo que obtuvo 12 de las unidades en las páginas de eBay, como esta, por ejemplo. Otro se obtuvo a través de un amigo. Según el investigador, el procedimiento oficial de Tesla requiere que las MCU eliminadas se envíen intactas de regreso a Tesla. Posteriormente, las unidades dañadas deben ser "martilladas" para asegurar que los conectores estén suficientemente dañados y luego desechados en la basura.
Parece que algunos empleados del centro de servicio venden unidades intactas en el costado en lugar de devolverlas (imagino que solo crean un registro de destrucción / eliminación internamente).
Mencionó al investigador en una entrevista.
En particular, si inicia sesión en Spotify, la contraseña se almacena en texto sin formato. gmail y netflix se almacenan como una cookie, pero aún dan acceso a un atacante potencial.
Por supuesto, todos los eventos de calendario recientes y su directorio telefónico y el historial de llamadas también.- verde (@greentheonly) 3 de mayo de 2020
Obligación de Tesla de proteger los datos
El descubrimiento de Greentheonly revela un riesgo no solo para los propietarios de Tesla, sino para los conductores de prácticamente cualquier vehículo que tenga dispositivos a bordo que almacenen datos personales o proporcionen monitoreo remoto.
Hay informes de usuarios que, con autos de otras marcas, después de entregar el vehículo alquilado, todavía tienen acceso a las acciones del vehículo, aunque ya está en manos de otro cliente.
Por lo tanto, lo que está en juego es el servicio débil de quienes tienen la obligación de validar que estos datos se eliminen efectivamente. Y que el sistema de infoentretenimiento no será utilizado por otras personas que tengan información privada del antiguo propietario o usuario.
El investigador dijo que las MCU de Tesla mantienen información en una base de datos SQLite que no se borra hasta que los bloques en el disco duro que la almacena se sobrescriben con nuevos datos. Aunque un restablecimiento de fábrica puede no ser infalible, es probable que dificulte y lleve mucho tiempo el proceso de recuperación para proporcionar una defensa significativa, aunque imperfecta. Lo ideal es incluso destruir las unidades cuando son inutilizables.
Léelo también?
