Oude infotainment-systemen van Tesla’s bevatten nog steeds data van gebruikers die onversleuteld is opgeslagen. Wie zo’n systeem tweedehands koopt heeft daarmee toegang tot adressen, wifi-netwerken, Spotify-accounts en meer.
Twee dingen maken van oude Tesla-modellen mogelijk grote privacylekken: De gegevens worden bij een vervanging niet gewist door medewerkers van het Tesla Service Center en de systemen, met die gegevens op, worden zonder toestemming doorverkocht.
De waarschuwing komt van een hacker die onder de de gebruikersnaam Greentheonly actief is. Hij deelde zijn bevindingen met InsideEVs.com. Hij kocht naar eigen zeggen oude infotainment-systemen van Tesla’s op via internet.
Uit deze systemen wist hij allerlei informatie over de vorige eigenaar achterhalen. Denk hierbij aan locaties die Tesla-gebruikers in het systeem hebben opgeslagen en informatie van gekoppelde telefoons, zoals afspraken in de agenda van gebruikers. Ook wachtwoorden en toegangstokens voor externe apps blijken in plaintext te zijn opgeslagen. Daarmee is het makkelijk om accounts van Netflix en Spotify over te nemen.
De viertal infotainment-systemen die de hacker kocht zijn afkomstig uit de Model 3S en Model X van Tesla. Het gaat in alle gevallen om systemen die kapot zijn. De hackers slaagde er desondanks in de data van de systemen te halen.
Tesla is door Green The Only geïnformeerd over het datalek. Het bedrijf zou klanten echter niet hebben willen informeren over lek en daarnaast geen tijdspad kunnen geven voor een oplossing voor het probleem. De hacker speelde zijn informatie daarom door naar InsideEVs.com, die hierover publiceerde.
Tesla-technici wissen data niet
Maar dat de oude infotainmentsystemen op de tweedehandsmarkt belanden is mogelijk ook een fout bij medewerkers van een Tesla Service Center. Veel van die oude systemen zijn vervangen omdat ze na 4-5 jaar stuk gaan. Anderen werden dan weer vervangen omdat de eigenaar nieuwe functies wou.
InsideEVs deed navraag bij enkele Tesla Centers en leerde dat de systemen in principe door hen worden vervangen en dat technici de opdracht krijgen om ze te beschadigen alvorens weg te gooien. De site gaat uit van twee scenario’s: de technici beschadigen de toestellen niet goed genoeg om de data te vernietigen. Daarbij worden ze ofwel uit het vuilnis gehaald door anderen, of door sommige technici zelf achtergehouden om online door te verkopen.
Een Tesla die met een kapot infotainmentsysteem naar de hersteldienst wordt gebracht, wordt dus niet gewist en de toestellen worden daarbij niet voldoende onbruikbaar gemaakt. Dat de persoonlijke data, zoals het wachtwoord van bepaalde accounts, in platte tekst en niet versleuteld is terug te vinden, maakt zo’n oud infotainmentsysteem een tool om gegevens van een ex-tesla eigenaar te verzamelen.
In samenwerking met Dutch IT-Channel.
Fout opgemerkt of meer nieuws? Meld het hier