“新鲜出炉的坏消息。如果你的特斯拉更换了信息娱乐计算机(含Model 3 FSD升级,MCU2改造,MCU1 emmc修复或任何其他需要计算机更换的修复),那么从该汽车登录的所有帐户均会受到感染,请考虑更改密码。”日前,“白帽黑客”格林在社交媒体上指出特斯拉存在数据泄露的问题。
格林表示,他从eBay购买了4个二手特斯拉组件后发现,特斯拉并未从信息娱乐系统和自动驾驶仪硬件中将前一个使用者的个人信息清除。
二手部件中的“一手”数据
特斯拉当前执行的计算机交换涉及Model S和Model X 车型的MCU(媒体控制单元)以及Model 3车型的ICE。在Model S和Model X车型上,MCU和Autopilot硬件是独立的计算机;在Model 3和Model Y上,这些计算机被组合在一个被“黑客”称为ICE的硬件中。
对于Model S和Model X,旧车中的第一代MCUv1或第二代MCUv2单元发生故障时需要替换。而对于Model 3,如果车主购买了完全自动驾驶(FSD)套件,旧车上的ICE计算机可能需要升级。
特斯拉曾承诺,2019年4月22日之后生产的所有汽车都将配备HW 3.0。但事实并非如此,在此之后生产的Model 3车型仍配备较早版本的HW计算机,而只有最新的硬件3.0可支持最新的FSD功能,所有这些MCU计算机都涉及到隐私问题。
据悉,格林购买了三台来自特斯拉Model 3的ICE计算机以及一个来自Model X的MCUv2单元,虽然MCUv2的构件已经被粉碎,但是数据仍然可以恢复。
“这些构件在eBay上的价格从150美元、200美元到300美元、500多美元不等,越来越多的人开始购买它们进行研究。由于需要专业知识,其中一些人或机构开始求助于我和其他‘黑客’,帮助他们提取数据,进行研究。我开始意识到数据泄露的问题,并在eBay上购买了一个构件,证实了猜想。”格林表示。
据格林透露,他购买的所有硬件,都存储有用户的家庭和工作地址、来自手机的WiFi密码、日程表、通话记录、通讯录、Netflix(奈飞)等信息使用情况等。Netflix的信息记录程序,使得“黑客”能控制这些账户流媒体网站的密码,并以明文形式储存。
据外媒报道,特斯拉服务中心清除旧计算机时,技术人员被告知要把被替换的计算机扔掉,或者在对其进行报废之前进行损坏。但用锤子敲击后的计算机外壳被损坏,内部的数据却未被破坏,依然能够在线上出售。
而关于替换下来的特斯拉部件在网上销售的原因,目前有两种解释:一种解释是服务中心对替换下来的部件没有按规定进行破坏;另外一种解释是技术人员通过出售这些零部件牟利。
不仅如此,格林还与CNBC(美国消费者新闻与商业频道)合作,在2019年3月公开了特斯拉的另一个隐私问题——打捞出的特斯拉汽车仍然存储有数据。特斯拉当时回应称,用户可以利用工厂设置选项清除存储在汽车中的敏感数据。但这些计算机改造只能由特斯拉在服务中心或通过公司的移动服务部门进行,一旦旧部件从汽车上拆除,用户就无法清除其中的数据。
格林还表示,有网友反映称用户可以支付1000美元的“核心费用”来保留旧计算机。
此外,据外媒报道,2018年7月初,来自 UpGuard 安全团队的研究员Chris Vickery在网上发现了汽车供应商Level One的不安全数据库,数据库包括将近47000份文件,涵盖特斯拉、通用、大众、丰田、福特、菲亚特克莱斯勒(FCA)等车企的商业机密、客户资料、员工信息等隐私数据。随着越来越多的第三方公司获得企业的访问权,企业数据泄露的风险也在大幅增加。
汽车数据安全问题引关注
上述信息曝光后,不少用户就特斯拉二手车组件替换造成信息泄露的问题表示担忧。
“电子垃圾的处理是一个巨大的问题,但令人尴尬的是我们处理的有多糟糕。”
“这是否会成为日后二手车售卖的一个潜在性问题?”
“这些数据储存在哪里,我替换了的组件是不是还能有方法恢复和备份数据?”
“我决定推迟升级直到隐私数据问题得到合理解决。”
“特斯拉在丢掉旧计算机之前有责任对他们消费者的隐私数据进行清除”
……
当前,汽车产品日益智能化,互联程度越来越高,数据泄露问题不仅引发用户担忧,也引起业内关注。
新思科技网络安全研究中心(Synopsys CyRC)首席安全策略师蒂姆指出,任何软件都能收集个人数据。“限制这种信息访问,并确保在更换计算机时删除存储数据,对汽车行业来说应是当务之急,因为我们正在朝着互联汽车成为规范的世界靠拢。”蒂姆表示。
安全意识培训和模拟网络诱骗平台KnowBe4的安全意识倡导者马利克则认为,二手电子产品处理不当的一个重要隐患是成为犯罪分子的有力“武器”。他建议必须建立允许用户在退还或出售之前轻松安全地擦除设备中包含的所有数据的机制。
数据安全技术公司comforte AG高级副总裁马克则建议,特斯拉运用一些适合动态边缘遥测系统和在线分析平台的新的数据安全方法,从而避免保留个人数据,在提供完整的客户体验、参与度甚至机器学习分析的同时,保证不会造成实时数据泄露。
不仅如此,消费者研究公司Comparitech隐私权倡导者保罗也在质疑特斯拉服务中心的运营安全问题。他建议用户升级特斯拉的计算机之前,要确保使用出厂重置选项预先清除所有数据。