2020/05/06

Componentes da Tesla revelam passwords dos donos anteriores


A proliferação dos chamados "smart devices" vem com alguns efeitos secundários curiosos, e nem sequer as peças dos Tesla escapam, podendo revelar informação privada dos donos anteriores, incluindo passwords de serviços, números de telefone de todos os contactos, e localização de casa e por onde conduziu.

Um investigador descobriu que sistemas de infotainment da Tesla, vendidos em segunda mão no Ebay e outros locais, mantêm dados sobre os seus antigos donos, incluindo coisas como a password de acesso ao Spotify e redes WiFi (em texto!) e tokens de acesso aos serviços da Google e Netflix. Adicionalmente, também dão acesso à lista de contactos, com os respectivos números de telefone, eventos no calendário, e localizações de casa, trabalho e outros destinos para onde se tenha conduzido.

A questão é que isto nem sequer é algo que esteja sob controlo dos utilizadores, já que a maioria destas unidades tem como origem a própria Tesla, depois de fazerem actualizações nos carros dos clientes, ou de carros acidentados onde poderá já nem ser possível ter acesso ao ecrã. Aliás, mesmo no caso de se fazer um reset de fábrica ao carro, deverá ser possível recuperar esta informação da memória.



Para as unidades que têm origem na Tesla, seria conveniente que a marca implementasse uma política de eliminação segura para todos os componentes removidos de carros dos clientes - em complemento de um maior controlo da sua destruição ou possível reutilização (e nem vamos falar da parte de estarem a guardar algumas passwords em plaintext!) Para os donos de Teslas, fica também demonstrada a necessidade de opções que garantam uma melhor segurança dos dados - leia-se: eliminação segura - para quando quiserem vender o seu carro.

... Quem imaginaria que vender um carro ou televisor (no caso das Smart TVs) em segunda mão teria que ser acompanhado da preocupação de fazer resets de fábrica e esperar que isso seja suficiente para que o seu próximo dono não tenha acesso à nossa conta da Netflix, Facebook, e outros serviços que se tenha utilizado?

1 comentário: