3 мая InsideEVs впервые сообщили вам об утечке данных Tesla. Это было вызвано не кибератакой, а тем, как Тесла избавлялся от замененных компьютеров со своих машин. 14 мая клиент Tesla сказал нам, что компания обвиняет угнанный грузовик в компьютерах, которые были найдены для продажи на eBay. Мы спросили Теслу, откуда и когда был взят грузовик, но не получили ответа от компании. Теперь мы узнали, что некоторые европейские клиенты также находят данные со своих замененных компьютеров для продажи в Интернете.
GreenTheOnly, хакер в белой шляпе, который первым рассказал нам об этой истории, обнаружил, что использованные ДВС и микроконтроллеры также продавались в Европе (см. Наш Глоссарий компьютерных терминов Tesla ниже). Эти компьютеры продавались на веб-сайтах всего за 80 евро или 91 доллар США по текущему обменному курсу. Он купил «кучу» из них. Оказывается, что есть пострадавшие клиенты во многих разных странах.
С клиентами, с которыми мы связались (есть гораздо больше)
InsideEV удалось связаться с пятью людьми, чьи личные данные были найдены на этих замененных компьютерах Tesla. Из этих пяти только один не вернулся к нам, несмотря на многочисленные попытки в Facebook, WhatsApp и сообщениях электронной почты.
Л.С. живет в Австрии, и 2 декабря 2019 года в его сервисном центре Уолс-Тесла его компьютер заменили.
Остальные четыре из Нидерландов, Бельгии и Великобритании. По их словам, Тесла не связался, чтобы предупредить их об утечке данных. Большинство из них решили остаться анонимными, за исключением Даниэля ДиБаттиста, владельца AWD Tesla Model 3 Long Range. У его машины была проблема с его радио назад в начале года. Его ЛЕД был заменен 13 февраля 2020 года.
«Мое FM-радио не работало, поэтому Тесла заменил весь компьютер — немного глупо, потому что маленький FM-модуль находится в задней части автомобиля. Через три недели они все равно заменили этот модуль FM ».
Теперь ДиБаттиста хочет поговорить с Теслой об этой проблеме. Он сказал, что свяжется с Теслой, чтобы разобраться в ситуации, но хочет какую-то компенсацию за то, что ему пришлось удалить пароли, предупредить людей в своем списке контактов о проблеме и, самое главное, за то, что были раскрыты все эти личные данные.
DiBattista купил его автомобиль, вероятно, из-за его сына, который также владеет Tesla: у сына Model S. DT недавно была проблема MCU, но он не заменил компьютер. К счастью, он знал специалистов, которые могут заменить только неисправную карту EMMC.
Другой клиент из Бельгии — RM. Сначала компьютер, казалось, указывал на другого владельца, JG, но этот человек живет во Франции. Он сказал нам, что у него никогда не было Теслы, но что у его зятя такой был. Это был РМ. Это доказывает, что утечка данных раскрывает не только владельца автомобиля, но и всех в их списках контактов, включая их семьи.
«Я подтверждаю, что мой центральный блок Tesla был изменен к концу прошлого года в Завентеме. Страшно … Никто не протянул руку от Теслы. Я буду обращаться к ним. Мы изменили все наши пароли по вашей рекомендации. Дело в том, что я даже не знаю, с кем связаться в Тесле. Это арендованный служебный автомобиль, который у меня есть. Я не знаю, были ли они проинформированы. Я не. Я бы хотел, чтобы Тесла признавал и реагировал соответствующим образом, а не просто игнорировал вещи ».
Последним европейским клиентом, с которым мы разговаривали, является JW из Великобритании.
«Это немного тревожно, если честно. Сначала я подумал, что это может быть фишинговое письмо или что-то в этом роде, но ваша учетная запись электронной почты проверяется, и я вижу, что вы написали эти статьи ».
JW заменил свой компьютер 23 января 2020 года в Сервисном Центре Хитроу Тесла. Он не использовал приложения в своей машине, но у него были пароли Wi-Fi на старом компьютере.
«Я предполагал, что старый компьютер будет отправлен обратно в Нидерланды или США для дальнейшей диагностики или ремонта. Я думал спросить, могу ли я получить его, но подумал, что вряд ли они дадут его мне. Тесла не связывался со мной вообще, чтобы предупредить, что мой старый компьютер «потерян».
Что компания должна сказать по этому поводу?
Вскоре после того, как мы опубликовали нашу первую статью, примерно в середине мая, Tesla выпустила обновление 2020.16.2.1. Помимо прочего, он шифрует личные данные на компьютерах Tesla, но не во всех случаях, по словам нашего друга-хакера г-на Грина.
«Некоторые машины сейчас зашифрованы. Я не знаю, сколько, но мой все еще нет. В Твиттере было много сообщений о том, что люди видят экран «сейчас шифрует», но, по крайней мере, на моей машине шифрование еще не сработало ».
В тех, как работает шифрование? Это достаточно?
«Шифрование не идеальное, но достаточно приличное, чтобы большинство людей не смогли его легко сломать. Кроме того, я думаю, что это позволяет полностью стереть PII в случае сброса к заводским настройкам — но я не проверял эту теорию ».
Что заставляет шифрование работать? Мы бы спросили Теслу, но мы все еще ждем, чтобы компания ответила на многочисленные вопросы, которые мы уже задавали и ждали ответов, особенно в отношении людей, которые выполняли модернизацию компьютеров до обновления.
Мы связались с владельцами, с которыми мы связались с тех пор, как начали работать над первой статьей. Один из пострадавших клиентов получил это электронное письмо от Tesla:
«Мы пишем, чтобы сообщить вам об отдельном инциденте, который может повлиять на личную информацию небольшого числа клиентов, включая вас. Хотя мы не знаем о каком-либо злоупотреблении вашими данными, мы предоставляем это уведомление, чтобы вы знали, о том, что произошло, о мерах, которые мы приняли, и о некоторых рекомендуемых мерах, которые вы можете предпринять для лучшей защиты от возможного неправомерного использования вашей личной информации, если вы сочтете это целесообразным.
Что произошло
Автомобильные компьютеры Тесла удаляются и заменяются для клиентов, переходящих на Полное самостоятельное вождение (https://tesla.com/support/full-self-driving-computer…). 16 апреля 2020 года Тесла обнаружил, что небольшое количество автомобильных компьютеров было ненадлежащим образом удалено из объекта Тесла без разрешения. Мы немедленно предприняли шаги, чтобы обезопасить места, где хранятся такие компьютерные устройства, и сразу же начали расследование этой проблемы. Мы определили, что это несанкционированное действие имело место до того, как компьютерные блоки смогли пройти стандартную процедуру Tesla по безопасному восстановлению или утилизации, непреднамеренно предоставив некоторую личную информацию несанкционированной третьей стороне. У нас нет никаких доказательств того, что ваша информация была использована или раскрыта. Обратите внимание, что это ограничивалось информацией, содержащейся в автомобильном компьютере, и не влияло на другие информационные системы.
Какая информация была задействована
Мы провели всестороннюю проверку личной информации, содержащейся в автомобильном компьютерном блоке. Типы личной информации, на которую, возможно, повлияли: имя и фамилия, данные для входа в приложение стороннего транспортного средства (имя пользователя и пароль), сведения о событиях календаря синхронизации, телефонные контакты, история веб-браузера, сохраненные адреса на картах, навигация история и история медиаплеера. Никакая информация о клиенте не была затронута.
Что мы делаем
Конфиденциальность, конфиденциальность и безопасность личной информации является главным приоритетом. Как только мы обнаружили этот изолированный инцидент, мы приняли меры, упомянутые выше, и никакие другие компьютерные блоки, как известно, не были затронуты. Мы уведомили правоохранительные органы, которые работают над тем, чтобы обеспечить возвращение подразделений в Теслу для надлежащей утилизации. Кроме того, мы также усовершенствовали процедуру восстановления и утилизации замененных компьютерных блоков, чтобы предотвратить аналогичную деятельность.
Что ты можешь сделать
Хотя у нас нет никаких доказательств того, что ваша личная информация была использована не по назначению, для вашей защиты и с большой осторожностью мы сбросили вашу учетную запись Tesla и рекомендуем вам сменить пароль для любых других учетных записей, в которых вы использовали такую же или аналогичный пароль для любых транспортных приложений, таких как Google, Spotify, Slacker, Netflix и т. д. Кроме того, будьте осторожны с любыми нежелательными сообщениями, которые запрашивают или направляют вас на веб-сайт, запрашивающий вашу личную информацию.
С Уважением,
Tesla Data Protection Office «
Мы не знаем, сколько людей получили это сообщение и когда оно было отправлено. Если вы находитесь среди тех клиентов, с которыми вы связались, сообщите нам больше о вашей истории. Мы также хотим выяснить, что означает «небольшое количество клиентов». Для справки, мистер Грин все еще покупает компьютеры в США.
Европейский совет по защите данных
Поскольку некоторые из тех, с кем мы связались, сказали, что они связываются с властями, чтобы сообщить об утечке данных, мы также связались с Европейским советом по защите данных, чтобы выяснить, отвечает ли он за какие-либо меры. Вот что EDPB сказал нам:
«Правоприменение лежит на национальных надзорных органах. Субъекты данных ЕС, которые опасаются, что их права на защиту данных могут быть нарушены в данном конкретном случае, могут зарегистрировать жалобу в своем национальном надзорном органе, который может расследовать дело ».
Тем не менее, если вы выполнили модернизацию компьютера в Европе, вы уже знаете, с кем можно связаться, кроме Tesla, чтобы уточнить это. Измените пароли, которые вы используете в своем Tesla, предупредите людей в вашем списке контактов об утечке и обратите особое внимание на необычные действия с вашими данными.