GreenTheOnly กลุ่ม white hat hacker พบอะไหล่รถยนต์ที่มีประวัติการเชื่อมต่อในรถยนต์ Tesla ถูกนำมาวางขายในเว็บไซต์ eBay ซึ่งยังไม่ได้ทำการลบข้อมูลใด ๆ โดยพบว่ามีข้อมูลส่วนบุคคล เช่น ที่อยู่ หมายเลขโทรศัพท์ รหัสผ่านการเชื่อมต่อสื่อบันเทิง เช่น Spotify Netflix เป็นต้น ยิ่งไปกว่านั้นยังพบรหัสผ่าน Wi-Fi ที่ใช้ในการเชื่อมต่อกับอุปกรณ์ในรถยนต์ รวมไปจนถึง MCU ที่มีข้อมูลประวัติการโทรและติดต่อทางสมุดโทรศัพท์ของทุกเครื่องที่เคยได้จับคู่ไว้ด้วยเช่นกัน

โดย Green ต้องการทราบข้อมูลที่รั่วไหลนี้เพิ่มเติม จึงทดสอบด้วยการซื้อ Media Control Units: MCU ซึ่งเป็นชุดควบคุมผ่านทางเว็บไซต์ eBay พบว่าอุปกรณ์ดังกล่าวมีข้อมูลส่วนบุคคลของผู้ใช้เดิม เนื่องจาก Green สามารถเข้าถึงข้อมูลภายในได้ง่าย ในบางระบบยังมีรหัสผ่าน Spotify ในรูปแบบข้อความที่ยังไม่ได้เข้ารหัส และคุ๊กกี้เซสชันของ Gmail และ Netflix โดยใครก็ตามสามารถก็สามารถใช้เพื่อเข้าถึงบัญชีเจ้าของเดิมได้

ปัญหานี้เริ่มต้นมาจากการที่ Tesla เริ่มให้บริการ Retrofit ตั้งแต่เดือนมีนาคม 2563 ที่ผ่านมา และมีการอัปเกรด MCU ใหม่ ทำให้ลูกค้าที่ใช้รุ่นก่อนหน้านี้จำเป็นต้องนำอุปกรณ์ไปทิ้งหรือขายคืน และ Tesla ควรทำลายอุปกรณ์ทิ้ง ไม่ควรนำมาวางขายใหม่เช่นนี้

โดยหลังจากทดสอบที่ชัดเจนแล้ว Green ได้พยายามติดต่อกับ Tesla แต่ไม่ได้รับคำตอบกลับภายในเวลาที่กำหนด จึงเป็นเหตุผลว่าทำไมถึงออกมาเปิดเผยข้อมูลสู่สาธารณะ โดยขอให้ Tesla ต้องจัดการกับข้อมูลลูกค้าจากอุปกรณ์ที่ใช้แล้วและควรนำไปทิ้ง เพราะ Tesla ไม่สามารถลบข้อมูลได้อย่างเหมาะสม ซึ่ง Green ยังแนะนำอีกว่าสำหรับผู้ใช้งาน ก่อนจะทิ้งอุปกรณ์การเชื่อมต่อในรถยนต์ ขอให้ตรวจสอบให้แน่ใจก่อนว่า ได้ลบข้อมูลทิ้งหมดก่อนจะติดตั้งอุปกรณ์ใหม่ เพื่อป้องกันการถูกผู้อื่นละเมิดข้อมูลและแอบอ้างสวมรอยได้

ที่มา: https://www.hackread.com/user-data-found-in-tesla-car-parts-ebay/

ภาพถ่ายโดย Vlad Tchompalov จาก Unsplash



เนื้อหาที่เกี่ยวข้อง

1. แฮกเกอร์ใช้ Maze Ransomware โจมตี LG Electronics ขโมยข้อมูล

2. พบ EvilQuest ransomware มุ่งโจมตีเฉพาะ macOS

3. เว็บไซต์ช้อปปิ้ง ตกเป็นเป้าหมายในการโจมตีของแฮกเกอร์

4. Patches ใหม่ของ PAN-OS มีช่องโหว่มีความรุนแรงระดับ 10/10

5. Indiabulls Group ถูกโจมตีด้วย CLOP Ransomware