19-летний хакер и исследователь систем безопасности нашел уязвимости в стороннем приложении для управления автомобилями Tesla. Он мог открывать двери и окна, включать музыку и сигнализацию и заводить машину без ключа
Дэвид Коломбо — 19-летний парень из Баварии. В 15 лет он фактически бросил школу, получив разрешение посещать занятия только два раза в неделю, чтобы больше заниматься кибербезопасностью. Основав технологическую компанию Colombo Technology, он начал заниматься проверкой систем защиты и консультированием.
Проверяя систему безопасности одного из своих клиентов, Коломбо решил посмотреть, какие сервисы и платформы он использует. Как утверждает хакер, вероятно, он мог бы найти устаревшее программное обеспечение или резервную копию базы данных, но наткнулся на кое-что более интересное.
Доступ к Tesla: какие данные смог получить хакер
11 января 2022 года в своем Twitter-аккаунте Коломбо сообщил, что может дистанционно контролировать около 20 автомобилей Tesla в 10 странах независимо и без ведома владельцев. История получила огласку благодаря ранее опубликованному твиту, который разлетелся по всей социальной сети и помог хакеру найти еще несколько пользователей приложения. География доступа расширилась до 13 стран, включая Германию, Бельгию, Финляндию, Данию, Великобританию, США, Канаду и Китай. В общей сложности Коломбо мог проникнуть в 25 автомобилей Tesla.
Конечно, исследователь кибербезопасности не мог контролировать важные для автомобиля функции: рулевое управление, ускорение и торможение. Но вскоре оказалось, что баги в приложении TeslaMate открывают доступ и к сенситивным данным пользователей: имени, которое хозяин дал своей машине, последним маршрутам, местам парковки, погоде за окном автомобиля, скорости ее движения и истории обновлений программного обеспечения.
Как компании отреагировали на утечку
Коломбо связался с командой безопасности Tesla и разработчиками TeslaMate. Tesla уведомила своих клиентов о нарушениях в системе, попросив их изменить пароли и усилить безопасность, а создатели приложения выпустили новую версию, исправив ошибку, которая привела к утечке данных.
Коломбо сказал, что вины Tesla в этой ситуации нет. Доступ удалось получить из-за незащищенного программного интерфейса API, который приложение TeslaMate использовало для создания связи с автомобилем.