特斯拉數(shù)據(jù)疑泄露 二手車信息組件未清除用戶隱私
每日經(jīng)濟新聞
2020-05-09 11:08:34
每經(jīng)記者|趙成 每經(jīng)實習記者|龍穎如 每經(jīng)編輯|張北
圖片來源:每經(jīng)記者 蘧毛毛 攝
“新鮮出爐的壞消息。如果你的特斯拉更換了信息娛樂計算機(含Model 3 FSD升級�,MCU2改造,MCU1 emmc修復或任何其他需要計算機更換的修復)���,那么從該汽車登錄的所有帳戶均會受到感染���,請考慮更改密碼。”日前�����,“白帽黑客”格林在社交媒體上指出特斯拉存在數(shù)據(jù)泄露的問題���。
格林表示����,他從eBay購買了4個二手特斯拉組件后發(fā)現(xiàn)�,特斯拉并未從信息娛樂系統(tǒng)和自動駕駛儀硬件中將前一個使用者的個人信息清除。
二手部件中的“一手”數(shù)據(jù)
特斯拉當前執(zhí)行的計算機交換涉及Model S和Model X 車型的MCU(媒體控制單元)以及Model 3車型的ICE�����。在Model S和Model X車型上��,MCU和Autopilot硬件是獨立的計算機��;在Model 3和Model Y上,這些計算機被組合在一個被“黑客”稱為ICE的硬件中�。
對于Model S和Model X,舊車中的第一代MCUv1或第二代MCUv2單元發(fā)生故障時需要替換��。而對于Model 3�,如果車主購買了完全自動駕駛(FSD)套件,舊車上的ICE計算機可能需要升級����。
特斯拉曾承諾,2019年4月22日之后生產的所有汽車都將配備HW 3.0���。但事實并非如此����,在此之后生產的Model 3車型仍配備較早版本的HW計算機����,而只有最新的硬件3.0可支持最新的FSD功能,所有這些MCU計算機都涉及到隱私問題����。
據(jù)悉,格林購買了三臺來自特斯拉Model 3的ICE計算機以及一個來自Model X的MCUv2單元�����,雖然MCUv2的構件已經(jīng)被粉碎,但是數(shù)據(jù)仍然可以恢復�����。
“這些構件在eBay上的價格從150美元�、200美元到300美元�、500多美元不等,越來越多的人開始購買它們進行研究��。由于需要專業(yè)知識����,其中一些人或機構開始求助于我和其他‘黑客’,幫助他們提取數(shù)據(jù)�,進行研究。我開始意識到數(shù)據(jù)泄露的問題�����,并在eBay上購買了一個構件�����,證實了猜想。”格林表示����。
據(jù)格林透露,他購買的所有硬件��,都存儲有用戶的家庭和工作地址�����、來自手機的WiFi密碼����、日程表、通話記錄�、通訊錄、Netflix(奈飛)等信息使用情況等����。Netflix的信息記錄程序,使得“黑客”能控制這些賬戶流媒體網(wǎng)站的密碼���,并以明文形式儲存�����。
圖片來源:每經(jīng)記者 李星 攝
據(jù)外媒報道����,特斯拉服務中心清除舊計算機時,技術人員被告知要把被替換的計算機扔掉�,或者在對其進行報廢之前進行損壞。但用錘子敲擊后的計算機外殼被損壞�,內部的數(shù)據(jù)卻未被破壞���,依然能夠在線上出售�����。
而關于替換下來的特斯拉部件在網(wǎng)上銷售的原因����,目前有兩種解釋:一種解釋是服務中心對替換下來的部件沒有按規(guī)定進行破壞�;另外一種解釋是技術人員通過出售這些零部件牟利。
不僅如此���,格林還與CNBC(美國消費者新聞與商業(yè)頻道)合作����,在2019年3月公開了特斯拉的另一個隱私問題——打撈出的特斯拉汽車仍然存儲有數(shù)據(jù)。特斯拉當時回應稱�����,用戶可以利用工廠設置選項清除存儲在汽車中的敏感數(shù)據(jù)����。但這些計算機改造只能由特斯拉在服務中心或通過公司的移動服務部門進行,一旦舊部件從汽車上拆除��,用戶就無法清除其中的數(shù)據(jù)�����。
格林還表示��,有網(wǎng)友反映稱用戶可以支付1000美元的“核心費用”來保留舊計算機���。
此外����,據(jù)外媒報道�,2018年7月初,來自 UpGuard 安全團隊的研究員Chris Vickery在網(wǎng)上發(fā)現(xiàn)了汽車供應商Level One的不安全數(shù)據(jù)庫,數(shù)據(jù)庫包括將近47000份文件���,涵蓋特斯拉���、通用、大眾�、豐田、福特��、菲亞特克萊斯勒(FCA)等車企的商業(yè)機密��、客戶資料����、員工信息等隱私數(shù)據(jù)���。隨著越來越多的第三方公司獲得企業(yè)的訪問權�����,企業(yè)數(shù)據(jù)泄露的風險也在大幅增加���。
汽車數(shù)據(jù)安全問題引關注
上述信息曝光后,不少用戶就特斯拉二手車組件替換造成信息泄露的問題表示擔憂。
“電子垃圾的處理是一個巨大的問題��,但令人尷尬的是我們處理的有多糟糕��。”
“這是否會成為日后二手車售賣的一個潛在性問題��?”
“這些數(shù)據(jù)儲存在哪里�,我替換了的組件是不是還能有方法恢復和備份數(shù)據(jù)?”
“我決定推遲升級直到隱私數(shù)據(jù)問題得到合理解決�����。”
“特斯拉在丟掉舊計算機之前有責任對他們消費者的隱私數(shù)據(jù)進行清除”
……
當前��,汽車產品日益智能化�,互聯(lián)程度越來越高,數(shù)據(jù)泄露問題不僅引發(fā)用戶擔憂���,也引起業(yè)內關注�。
圖片來源:攝圖網(wǎng)
新思科技網(wǎng)絡安全研究中心(Synopsys CyRC)首席安全策略師蒂姆指出����,任何軟件都能收集個人數(shù)據(jù)。“限制這種信息訪問�����,并確保在更換計算機時刪除存儲數(shù)據(jù),對汽車行業(yè)來說應是當務之急�,因為我們正在朝著互聯(lián)汽車成為規(guī)范的世界靠攏。”蒂姆表示��。
安全意識培訓和模擬網(wǎng)絡誘騙平臺KnowBe4的安全意識倡導者馬利克則認為���,二手電子產品處理不當?shù)囊粋€重要隱患是成為犯罪分子的有力“武器”�����。他建議必須建立允許用戶在退還或出售之前輕松安全地擦除設備中包含的所有數(shù)據(jù)的機制�。
數(shù)據(jù)安全技術公司comforte AG高級副總裁馬克則建議�����,特斯拉運用一些適合動態(tài)邊緣遙測系統(tǒng)和在線分析平臺的新的數(shù)據(jù)安全方法�����,從而避免保留個人數(shù)據(jù)��,在提供完整的客戶體驗����、參與度甚至機器學習分析的同時,保證不會造成實時數(shù)據(jù)泄露��。
不僅如此�,消費者研究公司Comparitech隱私權倡導者保羅也在質疑特斯拉服務中心的運營安全問題。他建議用戶升級特斯拉的計算機之前�����,要確保使用出廠重置選項預先清除所有數(shù)據(jù)���。
