特斯拉二手车泄露客户数据

安全牛 2022-06-17

点击蓝字关注我们

根据白帽黑客GreenTheOnly的说法，特斯拉忘记擦除二手车信息娱乐系统和自动驾驶仪硬件中的客户个人信息，Green从Ebay购买了四个二手特斯拉组件之后发现了上述问题。

Green在5月3日的Twitter帖子（https://twitter.com/greentheonly/status/1257051370563256331）中说道：

如果您更换了特斯拉电动汽车中的信息娱乐计算机（model3 FSD升级、mcu2改造、mcu1 emmc修复或任何其他需要更换计算部件了维修），那么基本可以认定你所有的汽车登录账户都已遭到泄露，需要立刻更改密码。

普通的汽车信息娱乐系统可以存储电话号码、音频媒体和地址，而Tesla组件还可以访问Netflix和Spotify等视频和音频流平台。

在某些系统中，研究人员发现可用于访问所有者账户的Netflix会话cookie，而其他系统则包括以纯文本格式存储的Gmail cookie、WiFi密码和Spotify密码。

格林补充：

特别是如果您登录过spotify（密码以纯文本格式存储）、gmail和netflix（密码以cookie的形式存储），就可能为攻击者提供访问权限，当然还包括最近所有的日历事件和您的电话簿和通话历史信息。

特斯拉公司表示，汽车硬件和新功能升级都在特斯拉服务中心进行，车主还可以要求将其个人数据和偏好转移到新设备上。

虽然服务中心应该销毁任何二手硬件，或者至少清除现有的个人信息，但尚不清楚这些硬件如何进入Ebay市场。

Green声称将他的发现通知了特斯拉销售代表，但是该公司未能通知受影响的客户，并且尚未发布正式声明。

建议准备出售其车辆的特斯拉车主手动擦除其信息娱乐系统中的数据，如果他们准备升级新的配件，则应确保服务中心正确处置硬件并删除任何现有信息。