即使在工厂重置后,特斯拉媒体单元也充满了所有者的私人数据

2020-05-08 12:15:09

产品2020-05-03 20:31:04 https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/特斯拉S型特斯拉3型特斯拉X型车坏了,维修/保养,特斯拉翻新个人数据泄露证据显示,特斯拉没有从更换的零部件上擦除个人数据,它们会重新上线销售。

特斯拉为媒体控制单元(MCU)和自动驾驶硬件(简称HW)提供的翻新服务在保护车主个人数据方面可能还不够深入。这是根据白帽黑客GreenTheOnly的说法。他从eBay上获得了四台特斯拉电脑,并在上面发现了前车主的个人数据。然而,更令人担忧的是,当格林向特斯拉提供数据时,特斯拉做出了回应,或者说没有回应。

根据格林的说法,他在来到Inside EVS之前将他的发现告知了特斯拉。这家总部位于加利福尼亚州帕洛阿尔托的公司拒绝及时通知所有可能受到影响的客户,尽管在本文发表前一周,特斯拉确实表示将通知其中一名受影响的客户。到出版时为止,它还没有。

在接受Inside EV采访时,格林表示,他购买的每个模块都有“所有者的家庭和工作位置,所有保存的wi-fi密码、手机日历条目、配对手机的通话列表和地址簿、Netflix和其他存储的会话cookie。”Netflix会话Cookie允许黑客控制这些帐户。Spotify密码以明文存储。

因此,如果你拥有一辆特斯拉,并且你的车已经安装了新的计算机硬件,你的个人信息现在可能会在eBay或其他地方出售。

特斯拉目前执行的计算机交换包括Model S和Model X上的MCU和Model 3上的ICE。在Model S和X上,MCU和Autopilot硬件是独立的计算机。在Model3和现在的ModelY上,这些计算机被组合在一个单独的硬件中,黑客称之为ICE。

这些计算机可能需要更换的原因有几个。对于Model S和X,旧车中的MCU有时需要更换,因为第一代MCUv1存在过多日志记录的问题,导致它在四到五年后出现故障。车主们请求特斯拉开始提供其第二代MCU MCUv2的改装,据说MCUv2修复了这个缺陷,该公司于3月3日在美国推出了MCUv1。在此之前,特斯拉只用新的或翻新的MCUv1取代了MCUv1。令人惊讶的是,格林发现MCUv2单元也出现了故障,可能是由于EMMC芯片的制造问题。所有这些计算机,包括MCUv1和MCUv2,都涉及此隐私问题。

对于Model 3,如果车主购买了全自动驾驶(FSD)套装,那么旧车上的ICE计算机可能需要升级。已经有多个版本的硬件计算机可以控制自动驾驶并启用完全自动驾驶功能,只有最新的HW 3.0才能驱动最新的FSD功能。特斯拉承诺,2019年4月22日之后生产的所有汽车都将配备HW 3.0,但许多在该日期之后制造的Model 3仍然配备了更早版本的HW电脑。无论哪种方式,如果购买了FSD,任何没有最新硬件计算机的Model 3都需要更换整个ICE组件。虽然硬件计算机没有个人数据,但它与MCU计算机在型号3中结合在一起,是存储所有者个人数据的后一台计算机。

格林从特斯拉Model3S获得了三台ICE计算机。他还买了一辆Model X MCUv2。这个被粉碎了,但是它的数据是可以恢复的。

“在易趣上,这些单元的价格开始从500多美元降到300美元,然后是200美元,然后是150美元,以此类推,所以越来越多的人开始购买它们进行研究。”它们在汽车维修中毫无用处,因为在其他汽车上使用它们没有简单的方法。因为你需要专业知识才能入门,所以有些人求助于我和其他“黑客”来帮助他们入门。一些单位被派来给我,从他们那里提取数据,也是为了引导一些研究。这就是我意识到发生的数据泄露事件的时候。然后我在eBay上买了一台,以确认它的工作原理完全一样。确实如此。“。

格林已经公开了与CNBC合作的另一个特斯拉隐私问题。他们一起在2019年3月透露,打捞出来的特斯拉里面仍然有数据。当时,特斯拉声称车主可以使用工厂重置选项从他们的总计汽车中删除敏感数据。这对每个特斯拉车主都有好处,但不适用于这种情况。

这些计算机改造只由特斯拉执行,要么在服务中心进行,要么通过该公司的移动服务进行。车主通常希望将他们所有的个人数据传输到新电脑上,因此特斯拉使用安装在车内的较旧电脑将这些数据传输到新电脑上。然而,一旦原始计算机从车辆上移走,车主就不再有能力擦除自己的数据。

根据格林的说法,就像保修更换一样,当你进行FSD改造时,你不会得到保留旧部件的机会:特斯拉声称这是免费的。当您进行MCUv2升级时,或者如果您必须在尚未提供此更新的地方将MCUv1更换为另一个MCUv1,情况显然会发生变化。格林在TMC论坛上看到一条帖子说,你可以支付1,000美元的“核心费用”来保留你的旧电脑。我们无法与特斯拉确认这一点。

我们已经联系了特斯拉和其他了解改造后服务中心情况的消息来源。目标是确定他们对删除的旧计算机遵循什么策略。特斯拉没有回复我们,但据其中一位消息人士透露,技术人员被告知,在扔掉更换的电脑之前,要把它们扔掉或损坏-因此才买了被压碎的MCUv2 Green。

黑客得到了类似的消息:“我还听说把单位扔进垃圾箱的先决条件是用锤子砸几下。这显然没有破坏任何数据,我也看到了这些单元的出售-价格甚至更低,如果你买了一整盒,有时只有10美元。显然,完好无损的单元售价更高,所以我猜这是一种不用锤子敲打它们的动机。“。

如果销毁计算机操作得当,执行过换台操作的所有者就没有什么可担心的了。但正如你已经知道的,这些电脑最终出现在易趣和其他二手物品销售网站上,比如Bonanza。

格林警告我们,冷却液管道上有红色盖子的那些来自服务中心。黑客甚至能够定位他购买的被压碎的MCUv2来自哪个服务中心:加利福尼亚州圣克拉拉。

这些电脑出现在网上出售,至少有两种解释:要么是服务中心损坏得不够严重,不足以阻止它们重复使用,要么是技术人员自己在出售这些电脑以赚取利润。可能两者兼而有之。

特斯拉可以完全擦除它们的数据,然后以更低的价格翻新出售,而不是销毁这些电脑,或者向人们收取1000美元的保管费。有些甚至不需要任何物理维修;它们已经被预防性地更换了,或者因为它们的主人想要新的功能。

也许特斯拉认为转售这些电脑并不值得,但它也可以将这些电脑送到经过认证的商店进行擦除和转售。除了解决数据私隐问题外,这也比把它们扔进垃圾箱更环保。

自从格林拿到四台电脑以来,我们已经确认了四名特斯拉车主涉及这一隐私问题。他们都来自加利福尼亚州,四人都选择了匿名,但都同意与Inside EV进行正式交谈。

1号车主喜欢特斯拉。我们从ICE电脑上得到了她的电话号码和地址,我们移走了她的Model3,最终落入格林的手中,但我们通过电子邮件与她联系,这样她就可以核实我们是谁。我们一直遵循这一战略,所有特斯拉车主都参与其中。一号车主过了一会儿回答说:

“这非常令人担忧!我确实有一辆特斯拉Model3,最近在我当地的服务中心…升级到了消防车硬件3。我愿意就这一问题与您联系,因为我对可能发生这样的事情感到不安,也担心任何愿意购买的人都可以获得什么类型的数据。“。

我们告诉1号车主她的信息是安全的。格林承诺在这篇文章发表一周后删除所有数据,但并不是每个人都有足够的幸运让他们的旧电脑落入白帽黑客手中。

正如我们之前所说的,特斯拉向Green证实,它会警告至少一个客户,而那个客户是1号车主。然而,当我们一周后联系她时,她证实公司没有联系她。

“特斯拉没有就数据泄露一事联系我。他们应该这样做,我认为他们对此负有责任。我也觉得他们应该为这一违规行为负责,特别是如果这种情况发生在其他人身上。尽管如此,我相信特斯拉和他们正在努力做的事情。我不想以任何方式伤害它。虽然我很受伤,也有点震惊,但我绝对爱我的车和这家公司。“-1号车主。

2号车主还在考虑是否上市,因为他的电脑也是ICE,所以我们知道它来自Model 3。

“我大约在两个月前更换了消防处的电脑。特斯拉在卖这些电脑吗?还是说这是个流氓员工?特斯拉为什么要卖这些?“--2号车主。

3号车主驾驶的是特斯拉X车型,格林压碎的MCUv2被从该车型中移除。尽管硬件遭到了物理损坏,但格林仍然能够检索到足够的信息,以便我们从3号车主的手机和他妻子的手机中获得3号车主的电话号码、电子邮件地址和其他联系信息。当我们即将发表这篇文章时,他与我们取得了联系,并表示他正在寻求法律建议。我们仍然想知道更多关于他的改造情况。

第四位也是最后一位车主,我们有实物证据证明他们的个人数据没有被删除,他想和Inside Evs和格林先生通电话。4号车主想了解当他在Model3上安装FSD时更换的ICE计算机的所有情况,他要求我们称他为“不高兴的Model3车主”。

“特斯拉应该对云中和卡硬件上的所有数据进行加密。更换硬件组件后,特斯拉应删除并物理销毁介质,使数据无法恢复。“-所有者#4。

处理这些旧电脑的过程是怎样的?他们被从车里移走后会发生什么?

为什么特斯拉在将所有者的信息复制到新电脑后不将其删除?

你认为公司在处理这些旧电脑的方式上有什么失败之处,使它们最终无法出售,上面有个人数据?

在这些改造中,该公司是否计划采取任何措施来保护客户的数据?确切地说,是哪几个?

在我们发表这篇文章之前,特斯拉没有回复我们。如果公司回复,我们会更新文章。

要求特斯拉(Tesla)让你保留你的旧电脑,而不用支付1000美元的“核心费用”--如果你更换了MCU的话--或者证明它已经从硬件上擦除了你的数据。如果特斯拉对这种硬件的解决方案是摧毁它,那么用锤子敲打它是不够的,正如格林所证明的那样。此外,还应询问特斯拉,它计划如何处理你的硬件,以确保任何愿意为这些旧部件付费的人都不会获得你的数据。

如果特斯拉拒绝将旧电脑给你,或者拒绝证明它已经被适当擦除或销毁,那么你确保数据安全的选择就会受到限制。在特斯拉执行改装之前,你可能必须硬重置你的车,这将在旧电脑被移除之前擦除你的所有个人数据。如果你不想这样做,你可能不得不完全为了你的个人数据而放弃这一过程。

在特斯拉执行改装之前,你可能必须硬重置你的车,这将在旧电脑被移除之前擦除你的所有个人数据。

如果您已经进行了改造,请更改所有密码。警告你最近打过电话的人和你电话簿中的人,由于这次数据泄露,他们可能会受到冒充你的人的诈骗。

您是否让特斯拉或未经认证的供应商执行了我们在本文中提到的硬件交换之一?你因此而有什么问题吗?您是可以访问此数据泄露的其他示例的白帽黑客吗?你们有计划在短期内进行翻新吗?如果是这样的话,我们希望能听到您的消息。请向[email protected] EVs.com发送电子邮件,提供要共享的信息。

无论您决定做什么,至少要意识到,您的数据可能会在未经您许可的情况下被共享或出售。也就是说,直到特斯拉宣布了一种在这些情况下保护您信息安全的方法。