19-ամյա հաքերն ու անվտանգության հետազոտողը խոցելիություններ է հայտնաբերել Tesla-ի մեքենաների կառավարման երրորդ կողմի հավելվածում: Նա կարող էր բացել դռներն ու պատուհանները, միացնել երաժշտությունն ու ահազանգերը և առանց բանալու մեքենաները գործարկել։
Դեյվիդ Կոլոմբոն 19-ամյա տղա է Բավարիայից։ 15 տարեկանում նա թողել է դպրոցը՝ դասերին շաբաթական երկու անգամ հաճախելու թույլտվությամբ, որպեսզի ավելի շատ կենտրոնանա կիբերանվտանգության վրա: Colombo Technology տեխնոլոգիական ընկերությունը հիմնադրելուց հետո նա սկսել է աշխատել անվտանգության համակարգերի ստուգման և խորհրդատվության ոլորտում։
Իր հաճախորդներից մեկի անվտանգությունը ստուգելիս Կոլոմբոն որոշել է տեսնել, թե ինչ ծառայություններ և հարթակներ են օգտագործվում։ Համաձայն հաքերի՝ նա, հավանաբար, կարող էր գտնել հնացած ծրագրակազմ կամ տվյալների բազայի կրկնօրինակում, բայց պատահաբար ավելի հետաքրքիր բանի է հանդիպել։
Մուտք դեպի Tesla. ի՞նչ տվյալներ կարող են ստանալ հաքերները
2022 թվականի հունվարի 11-ին Twitter-ի իր միկրոբլոգում Կոլոմբոն հայտարարեց, որ կարող է հեռակա կարգով կառավարել մոտ 20 Tesla ավտոմեքենաներ՝ աշխարհի թվով 10 երկրներում՝ առանց դրանց սեփականատերերի իմացության։ Պատմությունը հանրայնացվել է նախկինում հրապարակված թվիթի շնորհիվ, որը տարածվել է սոցիալական ցանցում և օգնել հաքերին գտնել հավելվածի ևս մի քանի օգտատերերի։ Մուտքի աշխարհագրությունը ընդլայնվել է 13 երկրներում, ներառյալ՝ Գերմանիան, Բելգիան, Ֆինլանդիան, Դանիան, Մեծ Բրիտանիան, ԱՄՆ-ը, Կանադան և Չինաստանը։ Ընդհանուր առմամբ Կոլոմբոն կարողացել է թափանցել Tesla-ի թվով 25 ավտոմեքենաներ։
Իհարկե, կիբերանվտանգության հետազոտողը չի կարողացել վերահսկել մեքենայի կարևոր գործառույթները՝ ղեկը, արագացումը և արգելակումը: Բայց շուտով պարզվել է, որ TeslaMate հավելվածում առկա սխալները բացել են նաև օգտատերերի անձնական տվյալները՝ անունը, որը տերը տվել է իր մեքենային, վերջին երթուղիները, կայանատեղերը, մեքենայի պատուհանից դուրս եղանակը, արագությունը և պատմությունը:
Ինչպե՞ս ընկերություններն արձագանքեցին արտահոսքին
Կոլոմբոն կապ է հաստատել Tesla-ի անվտանգության թիմի և TeslaMate ծրագրավորողների հետ: Tesla-ն իր հաճախորդներին ծանուցել է համակարգի խախտումների մասին՝ խնդրելով փոխել գաղտնաբառերը և խստացնել անվտանգությունը, իսկ հավելվածի ստեղծողները թողարկել են նոր տարբերակ՝ ուղղելով տվյալների արտահոսքի հանգեցրած սխալը:
Կոլումբոն ասել է, որ ստեղծված իրավիճակում Tesla-ն մեղավոր չէ։ Մուտքը տրվել է անապահով API-ի պատճառով, որը TeslaMate հավելվածն օգտագործում էր մեքենայի հետ կապ ստեղծելու համար:
Սիրարփի Աղաբաբյան