特斯拉數(shù)據(jù)疑泄露 二手車信息組件未清除用戶隱私
每日經(jīng)濟(jì)新聞
2020-05-09 11:08:34
每經(jīng)記者 趙成 每經(jīng)實(shí)習(xí)記者 龍穎如 每經(jīng)編輯 張北
圖片來源:每經(jīng)記者 蘧毛毛 攝
“新鮮出爐的壞消息���。如果你的特斯拉更換了信息娛樂計(jì)算機(jī)(含Model 3 FSD升級(jí)���,MCU2改造,MCU1 emmc修復(fù)或任何其他需要計(jì)算機(jī)更換的修復(fù))�,那么從該汽車登錄的所有帳戶均會(huì)受到感染,請(qǐng)考慮更改密碼���。”日前��,“白帽黑客”格林在社交媒體上指出特斯拉存在數(shù)據(jù)泄露的問題���。
格林表示���,他從eBay購(gòu)買了4個(gè)二手特斯拉組件后發(fā)現(xiàn),特斯拉并未從信息娛樂系統(tǒng)和自動(dòng)駕駛儀硬件中將前一個(gè)使用者的個(gè)人信息清除����。
二手部件中的“一手”數(shù)據(jù)
特斯拉當(dāng)前執(zhí)行的計(jì)算機(jī)交換涉及Model S和Model X 車型的MCU(媒體控制單元)以及Model 3車型的ICE。在Model S和Model X車型上�����,MCU和Autopilot硬件是獨(dú)立的計(jì)算機(jī)���;在Model 3和Model Y上�,這些計(jì)算機(jī)被組合在一個(gè)被“黑客”稱為ICE的硬件中�����。
對(duì)于Model S和Model X�,舊車中的第一代MCUv1或第二代MCUv2單元發(fā)生故障時(shí)需要替換。而對(duì)于Model 3�����,如果車主購(gòu)買了完全自動(dòng)駕駛(FSD)套件,舊車上的ICE計(jì)算機(jī)可能需要升級(jí)�����。
特斯拉曾承諾���,2019年4月22日之后生產(chǎn)的所有汽車都將配備HW 3.0��。但事實(shí)并非如此�����,在此之后生產(chǎn)的Model 3車型仍配備較早版本的HW計(jì)算機(jī),而只有最新的硬件3.0可支持最新的FSD功能����,所有這些MCU計(jì)算機(jī)都涉及到隱私問題。
據(jù)悉����,格林購(gòu)買了三臺(tái)來自特斯拉Model 3的ICE計(jì)算機(jī)以及一個(gè)來自Model X的MCUv2單元,雖然MCUv2的構(gòu)件已經(jīng)被粉碎���,但是數(shù)據(jù)仍然可以恢復(fù)�����。
“這些構(gòu)件在eBay上的價(jià)格從150美元�����、200美元到300美元���、500多美元不等����,越來越多的人開始購(gòu)買它們進(jìn)行研究�。由于需要專業(yè)知識(shí),其中一些人或機(jī)構(gòu)開始求助于我和其他‘黑客’�����,幫助他們提取數(shù)據(jù)�,進(jìn)行研究。我開始意識(shí)到數(shù)據(jù)泄露的問題�����,并在eBay上購(gòu)買了一個(gè)構(gòu)件,證實(shí)了猜想��。”格林表示�。
據(jù)格林透露,他購(gòu)買的所有硬件��,都存儲(chǔ)有用戶的家庭和工作地址�、來自手機(jī)的WiFi密碼、日程表����、通話記錄、通訊錄��、Netflix(奈飛)等信息使用情況等����。Netflix的信息記錄程序���,使得“黑客”能控制這些賬戶流媒體網(wǎng)站的密碼���,并以明文形式儲(chǔ)存。
圖片來源:每經(jīng)記者 李星 攝
據(jù)外媒報(bào)道��,特斯拉服務(wù)中心清除舊計(jì)算機(jī)時(shí)��,技術(shù)人員被告知要把被替換的計(jì)算機(jī)扔掉,或者在對(duì)其進(jìn)行報(bào)廢之前進(jìn)行損壞�。但用錘子敲擊后的計(jì)算機(jī)外殼被損壞,內(nèi)部的數(shù)據(jù)卻未被破壞��,依然能夠在線上出售�����。
而關(guān)于替換下來的特斯拉部件在網(wǎng)上銷售的原因��,目前有兩種解釋:一種解釋是服務(wù)中心對(duì)替換下來的部件沒有按規(guī)定進(jìn)行破壞�;另外一種解釋是技術(shù)人員通過出售這些零部件牟利。
不僅如此���,格林還與CNBC(美國(guó)消費(fèi)者新聞與商業(yè)頻道)合作�����,在2019年3月公開了特斯拉的另一個(gè)隱私問題——打撈出的特斯拉汽車仍然存儲(chǔ)有數(shù)據(jù)��。特斯拉當(dāng)時(shí)回應(yīng)稱���,用戶可以利用工廠設(shè)置選項(xiàng)清除存儲(chǔ)在汽車中的敏感數(shù)據(jù)。但這些計(jì)算機(jī)改造只能由特斯拉在服務(wù)中心或通過公司的移動(dòng)服務(wù)部門進(jìn)行,一旦舊部件從汽車上拆除���,用戶就無法清除其中的數(shù)據(jù)��。
格林還表示�,有網(wǎng)友反映稱用戶可以支付1000美元的“核心費(fèi)用”來保留舊計(jì)算機(jī)�。
此外,據(jù)外媒報(bào)道��,2018年7月初��,來自 UpGuard 安全團(tuán)隊(duì)的研究員Chris Vickery在網(wǎng)上發(fā)現(xiàn)了汽車供應(yīng)商Level One的不安全數(shù)據(jù)庫���,數(shù)據(jù)庫包括將近47000份文件�����,涵蓋特斯拉�����、通用、大眾���、豐田��、福特��、菲亞特克萊斯勒(FCA)等車企的商業(yè)機(jī)密�、客戶資料、員工信息等隱私數(shù)據(jù)����。隨著越來越多的第三方公司獲得企業(yè)的訪問權(quán),企業(yè)數(shù)據(jù)泄露的風(fēng)險(xiǎn)也在大幅增加�����。
汽車數(shù)據(jù)安全問題引關(guān)注
上述信息曝光后�,不少用戶就特斯拉二手車組件替換造成信息泄露的問題表示擔(dān)憂。
“電子垃圾的處理是一個(gè)巨大的問題��,但令人尷尬的是我們處理的有多糟糕��。”
“這是否會(huì)成為日后二手車售賣的一個(gè)潛在性問題��?”
“這些數(shù)據(jù)儲(chǔ)存在哪里��,我替換了的組件是不是還能有方法恢復(fù)和備份數(shù)據(jù)���?”
“我決定推遲升級(jí)直到隱私數(shù)據(jù)問題得到合理解決��。”
“特斯拉在丟掉舊計(jì)算機(jī)之前有責(zé)任對(duì)他們消費(fèi)者的隱私數(shù)據(jù)進(jìn)行清除”
……
當(dāng)前����,汽車產(chǎn)品日益智能化,互聯(lián)程度越來越高���,數(shù)據(jù)泄露問題不僅引發(fā)用戶擔(dān)憂����,也引起業(yè)內(nèi)關(guān)注���。
圖片來源:攝圖網(wǎng)
新思科技網(wǎng)絡(luò)安全研究中心(Synopsys CyRC)首席安全策略師蒂姆指出����,任何軟件都能收集個(gè)人數(shù)據(jù)����。“限制這種信息訪問,并確保在更換計(jì)算機(jī)時(shí)刪除存儲(chǔ)數(shù)據(jù)��,對(duì)汽車行業(yè)來說應(yīng)是當(dāng)務(wù)之急�,因?yàn)槲覀冋诔ヂ?lián)汽車成為規(guī)范的世界靠攏。”蒂姆表示��。
安全意識(shí)培訓(xùn)和模擬網(wǎng)絡(luò)誘騙平臺(tái)KnowBe4的安全意識(shí)倡導(dǎo)者馬利克則認(rèn)為����,二手電子產(chǎn)品處理不當(dāng)?shù)囊粋€(gè)重要隱患是成為犯罪分子的有力“武器”。他建議必須建立允許用戶在退還或出售之前輕松安全地擦除設(shè)備中包含的所有數(shù)據(jù)的機(jī)制�����。
數(shù)據(jù)安全技術(shù)公司comforte AG高級(jí)副總裁馬克則建議����,特斯拉運(yùn)用一些適合動(dòng)態(tài)邊緣遙測(cè)系統(tǒng)和在線分析平臺(tái)的新的數(shù)據(jù)安全方法,從而避免保留個(gè)人數(shù)據(jù)����,在提供完整的客戶體驗(yàn)、參與度甚至機(jī)器學(xué)習(xí)分析的同時(shí)����,保證不會(huì)造成實(shí)時(shí)數(shù)據(jù)泄露。
不僅如此���,消費(fèi)者研究公司Comparitech隱私權(quán)倡導(dǎo)者保羅也在質(zhì)疑特斯拉服務(wù)中心的運(yùn)營(yíng)安全問題�����。他建議用戶升級(jí)特斯拉的計(jì)算機(jī)之前����,要確保使用出廠重置選項(xiàng)預(yù)先清除所有數(shù)據(jù)。
