Tesla vaza senhas e informações sensíveis de condutores

Um problema daqueles caiu no colo da Tesla no último final de semana. Segundo informações do site InsideEVs, vários proprietários de veículos da empresa tiveram, e ainda têm, informações sensíveis expostas pelo sistema de entretenimento dos carros. E a situação não é nem “coisa de hacker”, como dizem por aí.

Desde março de 2020 a fabricante de automóveis passou a oferecer um serviço de upgrade que atualiza o hardware do sistema de entretenimento dos carros: basicamente, o motorista chega ao ponto autorizado e funcionários providenciam a troca do computador de bordo, recolhendo o maquinário antigo. A ideia é que os dados sejam apagados da máquina trocada.

"Más notícias neste domingo: se você trocou seu computador de bordo de seu Tesla - considere que todas as contas logadas pelo seu carro estejam comprometidas e mude suas senhas."  

Claramente, este não vem sendo o caso: o InsideEVs conversou com um hacker que atende pelo apelido de “GreenTheOnly”, que afirmou ter encontrado — e comprado — componentes de segunda mão de computadores de bordo de carros da Tesla com os dados de seus antigos donos perigosamente intactos.

Normalmente, sistemas de infotenimento de automóveis guardam informações como músicas, o número de telefone e endereço do usuário. Entretanto, o equipamento da Tesla gaba-se de sua capacidade multifuncional, então ele também oferece suporte à consulta de e-mails e até Netflix. Os componentes encontrados por Green traziam, teoricamente, desde cookies de sessões já logadas em diversas plataformas até senhas explicitamente descritas em texto de e-mails e plataformas como Spotify, sem mascarar caracteres.

Green ainda confirmou ao InsideEVs que todos os componentes que ele comprou também traziam os endereços residencial e de trabalho de seu primeiro dono, as senhas de conexões Wi-Fi e anotações e entradas de compromissos no calendário, listas e histórico de chamadas, bem como acesso direto às agendas de contatos de todos os smartphones que foram pareados a eles via Bluetooth.

"Particularmente, se você se logou no Spotify - a senha é armazenada em texto aberto. Gmail e Netflix são armazenados como cookies, mas ainda trazem potencial de acesso para hackers. Obviamente, todos os eventos recentes de seu calendário e todos os seus contatos da agenda telefônica e histórico de chamadas também."

O serviço oferecido pela Tesla rege que usuários podem apagar as informações contidas no hardware por conta própria ou, para fins de comodidade, entregar o material sem fazer a limpeza, o que facilitaria a portabilidade a equipamentos novos e evitaria que o proprietário tivesse que inserir e salvar tudo de novo. A empresa ficaria responsável pelo descarte correto de dados e do hardware, que, segundo o InsideEVs, envolve a destruição do equipamento recolhido.

Green, porém, ressaltou ao site que a mera destruição dos componentes nem sempre é suficiente para que os dados sigilosos de consumidores sejam seguramente apagados. No caso das unidades de processamento não serem atingidas pelos métodos de descarte (Green ressalta que uma das unidades que comprou havia sido esmagada pelo que parece ser uma prensa hidráulica), as informações ainda poderão ser extraídas.

O que é mais preocupante é que tais unidades de computador descartadas sequer deveriam estar disponíveis à venda em sites de e-commerce, onde há ofertas por US$ 800 (R$ 4.389,28, na cotação de hoje). O serviço de upgrade da Tesla também é responsável pelo descarte dos computadores de bordo, então presume-se que centros de reciclagem que estejam recebendo o material da empresa estejam vazando componentes “utilizáveis”.

Isso porque, embora a Tesla seja a única com capacidade para trocar seus computadores de bordo, o mesmo fenômeno vem aparecendo em outras montadoras. No mês de março, a Ford passou pelos mesmos problemas com seus carros com sistemas interativos mais avançados.

Green disse que contatou a Tesla e a informou sobre suas descobertas há mais de uma semana, porém, até o último sábado (2), a empresa ainda não havia procurado os clientes com maior potencial de danos por viabilidade de extração de seus dados. No domingo, um dia depois, o InsideEVs publicou a matéria.

A Tesla ainda não comentou o caso, então, por ora, a recomendação que fica é a de que o próprio consumidor providencie a limpeza de seus dados dos sistemas de bordo dos carros da Tesla.

Fonte: InsideEVs