Hoe Tesla’s totale verkoop van onderdelen in de VS weer online kwam in Oekraïne

Een Tesla Model X die eind vorig jaar in de VS werd opgehaald, was plotseling weer online en begon maanden later meldingen te sturen naar de telefoon van de voormalige eigenaar, CNBC-hoofdredacteur Jay Yarrow.

Plots is een auto of haar computer online in een door oorlog verscheurd zuiden OekraïneHij vond het door zijn Tesla-app te openen en de geolocatiefunctie te gebruiken. Nieuwe eigenaren in Oekraïne ontdekten dat ze de nog steeds verbonden Spotify-app gebruiken om naar Drake Radio-afspeellijsten te luisteren.

Toen Yarow erover postte op sociaal netwerk X, voorheen Twitter, ging zijn bericht viraal en volgers wilden weten waarom dit gebeurde en of het een veiligheidsrisico was.

Volgens CTO van autobeveiligingsbedrijf Canis Labs, Ken Tindell, kan er inderdaad een beveiligingsrisico zijn bij gerestaureerde auto’s.

Hij legde in een e-mail aan CNBC uit: “Het is duidelijk dat de inloggegevens voor internetdiensten in de elektronica van de auto worden achtergelaten en vervolgens kunnen worden gebruikt door degene die de elektronica krijgt.” Hij voegde eraan toe: “Over het algemeen is het mogelijk om gegevens uit werkende elektronica te halen – het is gewoon een kwestie van hoeveel moeite het kost.”

Hij zei dat dit geen specifiek probleem is voor Tesla. Auto’s, zoals laptops, smartphones en zelfs koelkasten en televisies, zijn nu op internet aangesloten apparaten die persoonlijke gegevens kunnen opslaan.

“Ik denk dat het essentieel is dat dealers en eigenaren in grote lijnen begrijpen dat er een probleem is met privégegevens in voertuigen,” zei Tindle.

Hoe kwam de auto in Oekraïne terecht?

CNBC ontdekte dat nadat de auto was opgehaald, online veilingsite Copart hem te koop aanbood, volgens de advertenties van de site. bedrijf dat momenteel Het heeft meer dan 1600 tesla De voertuigen, die te koop staan, zijn aangesloten op bergingswerven in de VS, waaronder een in New Jersey waar de auto terechtkwam.

Copart is gespecialiseerd in beschadigde of afgedankte voertuigen met een zogenaamde ‘bergingstitel’ en wordt afgegeven wanneer een verzekeringsmaatschappij het total loss verklaart en toekomstige kopers waarschuwt dat er een groot probleem is. Volgens de website van het bedrijf verkoopt Copart jaarlijks meer dan 2 miljoen voertuigen en is het actief in 11 landen.

Dergelijke voertuigen kunnen legaal niet op Amerikaanse wegen rijden, maar sommige landen zijn niet zo streng.

“Auto’s gaan naar de reparatiewerkplaats of het autokerkhof en vinden dan hun weg naar een andere markt en worden dan plotseling naar het buitenland verscheept”, zegt Mike Dunn, een voormalig internationaal directeur van General Motors die nu CEO is van auto-adviesbureau ZoZoGo.

Deze praktijk is al tientallen jaren aan de gang en is versneld met de komst van digitale veilingen, volgens Stephen Lang, veilingmeester en oprichter van Used Car Marketplace. 48 uur en een gebruikte auto.

“Vanaf de jaren 2000 nam de digitale veilingsite het over. Dus nu kun je iemand in Oekraïne erop laten bieden. En dan biedt iemand anders uit Noorwegen erop… en je raakt niet eens een Amerikaanse grens of een Amerikaanse grens aan. bieder,” zei hij. Lang, die al meer dan 24 jaar actief is in de autoveiling.

“Vrijwel alle ingezamelde voertuigen zullen wegens schade op een veiling terechtkomen”, zei hij.

Een online veilingsite die gespecialiseerd is in dergelijke verkopen, schatte dat het winnende bod voor de auto tussen de $ 27.400 en $ 29.400 zou liggen. De uiteindelijke verkoopprijs was niet direct bekend. Noch de bergingswerf, noch Copart reageerden onmiddellijk voor commentaar op het voertuig en wie het kocht.

Het Tesla-ondersteuningsteam vertelde Yarow dat hij zijn auto van zijn account moest loskoppelen en de volgende instructies via e-mail moest geven:

Tesla vertelde hem niet hoe hij aan de informatie van de nieuwe eigenaar moest komen, omdat hij de auto niet had verkocht.

Volgens Ken Tindell, CTO van Canis Labs, kan het scheiden van iemands account van een gebundeld voertuig helpen voorkomen dat anderen apps gebruiken die verbonden zijn, zoals Spotify in het geval van Yarow. Er kunnen echter nog steeds gegevens uit de totale elektronica van het voertuig worden gehaald.

“Wat is de vluchtgeschiedenis en het telefoonboek van een beroemdheid waard voor een afperser of ontvoerder?” vroeg Tintel.

Hij en andere beveiligingsexperts vergeleken het geval van een gestolen Apple-laptop. In sommige gevallen kan Apple uw laptop of apparaat op afstand wissen wanneer u met internet bent verbonden. Maar “een kwaadwillende reparatiewerkplaats kan de harde schijf verwijderen en alle gegevens ervan kopiëren voordat een kapotte laptop wordt weggegooid.”

Dit is de reden waarom Apple routinematig zijn harde schijven versleutelt, merkte de CTO op. “Het is de enige manier om gegevensdiefstal te voorkomen door iemand die fysieke toegang heeft tot een apparaat dat niet is verbonden met internet.”

Idealiter zou een bedrijf als Tesla “een portaal hebben waar de gebruiker kan inloggen met online inloggegevens en kan zeggen: ‘verwijder al mijn informatie, ontkoppel dan mijn auto van het account, en het zou in staat zijn om op afstand een wisopdracht voor de auto uit te voeren’. wanneer het verbinding maakt met internet, alles verwijdert, inclusief GPS, opgeslagen locaties en de rest. “

Hij zei echter dat eigenaren hun eigen “persoonlijke risicopolitie” kunnen zijn, waarbij ze voorkomen dat ze hun gebruikte voertuigen of huurauto’s te veel persoonlijke informatie geven.

“Wis altijd uw gegevens nadat u klaar bent met het gebruik van de auto en probeer niet meer informatie met de auto te delen dan u absoluut nodig heeft”, raadde Ahner aan. “Als ik mijn telefoon koppel met de auto die ik huur of bezit, sta ik niet toe dat deze locatie en contacten synchroniseert. Ik geef hem alleen toegang via Bluetooth om over mijn muziek heen te praten en dus kan ik elke app voor het streamen van muziek streamen Ik hou van.”

Een automotive white hat hacker met het handvat Green the Only trekt al jaren aan de bel over data op auto’s. ‘Alle telefoonboeken en agenda’s kunnen waardevol zijn,’ zei hij.

Zodra het bezit van de computer of auto van de auto weer online is veranderd, zegt hij dat de vorige eigenaren “niet veel kunnen doen”. Een probleem is dat de oude eigenaar “kosten in rekening kan brengen voor superchargen” en andere items van Tesla – of andere autofabrikanten – kunnen worden verkocht op basis van een abonnement of betalen per oplaadbeurt. Ze kunnen altijd bij Tesla een aanvraag indienen om de auto van hun account te verwijderen, maar dat is alles.

Green the Only was het eens met Tindell en Ahner – Tesla “misschien kunnen ze een ‘remote wipe then remove from my account’ toevoegen naast de ‘remove from my account’ optie die ze nu hebben. Dat hadden ze waarschijnlijk al lang geleden moeten toevoegen .”