I dati sensibili, si sa, sono la merce preferita dai malintenzionati. Solitamente vengono rubati dai nostri computer, ma il progresso tecnologico apre per i criminali sempre nuove frontiere. È notizia di pochi giorni fa che un hacker ha trovato varie password di Spotify, cookie di sessione Gmail e Netflix e dai simili lavorando su parti di auto Tesla vendute sul colosso dell'e-commerce Ebay.

La protezione dei dati dei clienti dovrebbe essere la priorità principale di qualsiasi fornitore di servizi. Più di ogni altra, le grandi imprese hanno una grande responsabilità in questo senso in quanto la loro base di clienti è molto più ampia e il livello di fiducia estremamente più elevato tra le masse. Questo non sembra essere il caso del produttore di veicoli elettrici Tesla, Inc., secondo i rilievi di un hacker etico chiamato GreenTheOnly. Tutto è iniziato quando questi ha trovato dei componenti del sistema infotainment di auto del marchio disponibili per la vendita su eBay, il che è in realtà piuttosto comune. Ciò che rende questa vendita preoccupante è che Tesla non ha eliminato i dati personali dell'utente memorizzati dai componenti una volta smontati dall’auto e messi sul mercato.

Solitamente il sistema di infotainment di un veicolo memorizza informazioni quali supporti audio associati (es. telefono cellulare, oltre che lettori mp3 dotati di Bluetooth), indirizzi e numeri di telefono. Ma i sistemi di infotainment di Tesla sono piuttosto avanzati in quanto offrono servizi aggiuntivi come Netflix e Spotify integrati. Per portare avanti la propria indagine, l’hacker Green ha acquistato quattro MCU (unità di controllo dei media, Media Control Unit) dall’azienda tramite eBay e ha rilevato che i dispositivi contenevano dati personali del suo precedente utente. Green poteva accedervi facilmente, quindi non era presente nessun tipo di protezione sugli stessi. Inoltre, alcuni sistemi contenevano password Spotify in formato testo normale e cookie di sessione Gmail e Netflix, che chiunque potrebbe utilizzare per accedere all’account del proprietario originale se li trovasse. Inoltre. le password del Wi-Fi utilizzate in precedenza erano ancora memorizzate nel dispositivo. Ma c’è di più: le MCU contenevano anche la cronologia delle chiamate e le informazioni sui contatti della rubrica di tutti i telefoni associati alle unità fino a quel momento.

Tesla ha iniziato a offrire servizi di Retrofit da marzo 2020. Durante l’esecuzione dell'aggiornamento, Tesla di solito prende le vecchie MCU e li sostituisce con nuovi. Tuttavia, al cliente non è consentito conservare il vecchio dispositivo e i componenti utilizzati vengono messi in vendita o scaricati da qualche parte vicino ai centri di assistenza di Tesla, dove vengono presumibilmente distrutti. Il tweet di Greentheonly riporta: «Cattive notizie. Se hai sostituito un computer di infotainment nella tua Tesla (aggiornamento al Model3 FSD, aggiornamento della mcu2, correzione di errori della mcu1 emmc o qualsiasi altra operazione che richiede il cambio di computer) - considera tutti gli account a cui hai effettuato l’accesso dall'auto compromessi e cambia tutte le password». Green ha cercato in seguito di contattare Tesla ma la società non ha risposto ai suoi tentativi, motivo per cui l’hacker ha scelto di divulgare pubblicamente le sue scoperte.

Tweet