大家好，我是 零日情报局。

本文首发于公众号 零日情报局，微信ID：lingriqingbaoju。 

最近，特斯拉车主除了经受一波“被割韭菜”的心塞外，还得遭受数据泄露的危机。

国外研究员GreenTheOnly称，他从eBay上购买的二手特斯拉媒体控制单元（MCU）和Autopilot硬件中，发现记录着大量特斯拉车主的个人数据：

包括电话簿、通话记录、日程表、以明文形式存储的WiFi密码，甚至家庭住址、工作地点和所有导航到的位置，以及第三方应用（Spotify、Netflix、Gmail、YouTube等）账户ID和密码。

此时此刻，特斯拉计算机配件，正带着前主人们的信息在二手市场裸奔，而黑客甚至可以轻而易举地获取车主们最为敏感的信息。

这一切很可能要归咎于特斯拉在媒体控制单元（MCU）、自动驾驶仪硬件的改装服务（简称HW），对用户隐私数据的保护不力。

图：可能泄露用户个人信息的两种部件

据GreenTheOnly说，他手上13台二手MCU设备的最后一个地点，均显示为特斯拉服务中心，这表明这些旧设备是特斯拉授权的技术人员卸下来的。

根据特斯拉政策，维修和改装过程中更换下来的部件不再属于车主。旧部件会被工作人员用锤子敲击、破坏，然后作为废品处理丢弃。

图：经过破坏的特斯拉媒体控制单元部件

当然，锤击旧组件这种可笑的做法没有丝毫意义，数据并不会被破坏，只会降低这些旧组件的售价而已。

实际上，这些设备已经“流”向了eBay和其他二手商品交易网站，例如Bonanza。用户花费低至10美元就可以购买到一整箱，而提高价格甚至可以买到未被损毁的组件。

图：eBay交易价格信息

图：Bonanza交易价格信息

这些含有用户数据的废弃组件是如何流动到市场上的？

有两种解释：一种是服务中心对替换下来的部件没有按规定进行破坏；另一种解释是技术人员私自出售这些零部件牟利。也可能这两者兼而有之。

更加令人担忧的是，GreenTheOnly在向媒体报料之前，已经向特斯拉通报了这一发现。但特斯拉拒绝及时通知可能受影响的所有车主，只是表示将通知其中一名客户。

Greentheonly称，他可以访问这些信息，是因为特斯拉系统使用的是SQLite数据库。

对于SQLite数据库，恢复出厂设置只意味着操作系统将释放该特定模块上的空间，但已经写入的数据仍保留在原处。只有当硬盘驱动器上的特定模块被新信息覆盖重新写入，原有信息才会真正清除。

图：泄露用户数据信息

GreenTheOnly的意外发现让大家意识到，对旧计算机组件的轻率处理，不仅对特斯拉车主带来数据泄露风险，更是几乎对任何装有车载设备的用户都带来安全隐患。

试想，当这些存储个人数据或提供远程跟踪的计算机组件被黑客利用，后果等同于将车主的隐私信息与行车安全，送至攻击者手中完全掌握。

图：泄露用户数据信息

所以，GreenTheOnly提醒到，已经升级到HW 3.0的特斯拉用户，建议尽快修改所有密码；尚未升级到HW 3.0的特斯拉用户，建议在升级前重置车载系统。

最后，零日觉得，车载计算机系统安全问题值得大家多加留意，尤其是卖车、归还租车或是维修升级时，尽量确 保个人数据已被清除。当然，恢复出厂设置也并非万无一失，最好是厂商把硬盘换成SSD，保管好存储个人数据的软硬件，更靠谱些。

零日情报局作品

微信公众号：lingriqingbaoju

如需转载，请后台留言

欢迎分享朋友圈

参考资料：

[1] insideevs 《特斯拉数据泄漏：带有个人信息的旧组件在eBay上找到了出路》