Imagine a seguinte cena: você entra no eBay, compra uma peça usada para seu carro da Tesla e, ao analisar os dados contidos na própria, encontra informações pessoais do dono original daquele componente. Foi exatamente isso que aconteceu com o hacker ético GreenTheOnly — de acordo com uma reportagem do HackRead, o especialista, por curiosidade, resolveu analisar alguns apetrechos de veículos da montadora que estavam sendo oferecidos no marketplace norte-americano.
O que ocorre é que alguns mecanismos do sistema de infotainment da Tesla (muito mais complexo e elaborado do que os de outras montadoras “tradicionais”) armazenam dados sensíveis de seu usuário mesmo após serem retirados de seus devidos veículos. Green conseguiu encontrar, por exemplo, senhas do Spotify do dono anterior em texto simples, além de cookies de sessões do Netflix e do Gmail, o que lhe permitiria invadir facilmente tais contas desses serviços.
Bad news Sunday. If you had infotainment computer in your Tesla replaced (model3 FSD upgrade, mcu2 retrofit, mcu1 emmc fix or any other fixe requiring computer swap) - consider all accounts you logged into from the car compromised and change pwds.https://t.co/sCs7elRoyk
— green (@greentheonly) May 3, 2020
Ademais, as unidades de controle multimídia (MCU, no original em inglês) adquiridas pelo especialista também armazenavam senhas de redes WiFi, histórico de chamadas telefônicas e a agenda de contatos do último smartphone que foi pareado com a central multimídia.
Tal problema está intimamente ligado com uma estratégia de marketing da própria Tesla — a montadora iniciou, no final de 2019, um programa de retrofit no qual donos de veículos mais antigos poderiam atualizar sua central para uma edição mais nova. Porém, os clientes não podem ficar em posse dos componentes ultrapassados, e estes teoricamente deveriam ser descartados (ou ao menos ter seus dados sensíveis devidamente apagados antes de serem colocados à venda).
Procurada pela HackRead, a Tesla não quis comentar sobre o assunto.
Fonte: HackRead