“Hacker” compra peças usadas Tesla no eBay e descobre dados privados dos utilizadores

Cada vez mais os carros são tecnológicos, com filosofias muito similares às que temos noutros dispositivos eletrónicos. Nesse sentido, os cuidados com a privacidade dos dados dos utilizadores são essenciais. Ao que tudo indica, a Tesla tem uma falha que poderá estar a divulgar dados que deveriam ter sido apagados. Alguém descobriu esta falha, comprou peças Tesla antigas no eBay e encontrou-as cheias de dados dos utilizadores.

Segundo uma investigação, estes dados podem ser recuperados mesmo depois de os proprietários realizarem um reset de fábrica.

Os sistemas de infoentretenimento da Tesla são cada vez mais completos. Contudo, exigem que os proprietários dos veículos acedam a eles com os seus dados integrados. Esta área de entretenimento dentro do carro permite, por exemplo, ver vídeos do Netflix ou do YouTube, executar o Spotify, ligar-se à rede Wi-Fi e, é claro, armazenar números de telefone.

No entanto, estes benefícios exigem o armazenamento de muitas informações pessoais. Pelo menos foi o que um investigador amador encontrou e que podem revelar os dados mais sensíveis dos proprietários.

Dados dos utilizadores afinal não são apagados

O investigador conseguiu ter acesso a 13 Tesla MCU. Este é o acrónimo para Media Control Unit (tradução livre Unidade de Controlo Multimédia). Estas peças foram removidas dos carros elétricos quando estes foram para reparar ou quando foram para "abate". Assim, o investigador conseguiu perceber que cada um dos dispositivos armazenou uma grande quantidade de informações sensíveis, apesar de terem sido "apagados".

Segundo o que foi descrito, os dados existentes contemplavam listas telefónicas de smartphones ligados ao carro, registos de chamadas, com centenas de entradas, anotações recentes de calendário, nomes de utilizador e palavras passe do Spotify e de redes WiFi armazenadas em texto aberto. Além disso, existiam rotas no GPS para a casa do proprietário, para o local de trabalho e todos os lugares para os quais se navegava. Por fim, ainda foi possível encontrar cookies de sessão que permitiam acesso ao Netflix e ao YouTube (e contas Gmail anexadas).

Todos os 13 dispositivos mostraram que a sua última localização foi num centro de serviço Tesla. Tal informação poderá revelar que estas peças foram removidas por um técnico Tesla autorizado. Os postos de serviço Tesla removem as MCUs por vários motivos. Entre os motivos mais comuns estão defeitos na unidade, troca para uma versão mais moderna e mais avançada (quando está em causa melhorar o piloto automático do veículo).

Dados privados de utilizadores Tesla no Ebay

O Investigador, com o nome de utilizador @greentheonly, referiu que obteve 12 das unidades em páginas eBay, como esta, por exemplo. Uma outra foi obtida através de um amigo. Segundo o investigador, o procedimento oficial de Tesla exige que as MCUs removidas sejam enviadas intactas de volta para a Tesla. Posteriormente, as unidades danificadas devem ser "marteladas" para garantir que os conectores sejam suficientemente danificados e depois deitados no lixo.

Parece que alguns funcionários do centro de serviço vendem unidades intactas na lateral em vez de as devolver (imagino que eles apenas criam um registo de destruição/eliminação internamente).

Referiu o investigador numa entrevista.

In particular if you log into spotify - the password is stored in plain text. gmail and netflix are stored as a cookie but still give a potential attacker access. The of course all recent calendar events and your phone book and calls history too.

— green (@greentheonly) May 3, 2020

Obrigação da Tesla na proteção dos dados

A descoberta da Greentheonly revela um risco não só para os proprietários dos Tesla, mas para os condutores de praticamente qualquer veículo que tenha dispositivos a bordo que armazenem dados pessoais ou forneçam monitorização remota.

Há relatos de utilizadores que, com carros de outras marcas, depois de entregar o veículo alugado continuaram com acesso a ações do veículo, mesmo este já estando nas mãos de outro cliente.

Portanto, o que está em causa é o fraco serviço de quem tem obrigações de validar que estes dados são efetivamente apagados. E que o sistema de infoentretenimento não será usado por outras pessoas, tendo informação privada do antigo proprietário ou utilizador.

O investigador disse que as MCUs Tesla mantêm informações numa base de dados SQLite que não são apagadas até que os blocos do disco rígido que as armazena sejam sobrescritos por novos dados. Embora um reset de fábrica possa não ser infalível, é provável que isso torne o processo de recuperação difícil e demorado o suficiente para fornecer uma defesa significativa, mesmo que imperfeita. O ideal é mesmo destruir as unidades quando ficam inutilizadas.

Leiam também?