Tutto è cominciato con il furto di diverse centraline contenenti i dati riservati di alcuni automobilisti, finiti nelle mani sbagliate

A maggio InsideEVs.com ha rivelato per la prima volta il fatto che alcuni dati dei clienti Tesla sono filtrati verso l'esterno. Il data leak non è stato causato da un attacco informatico, ma dal modo in cui Tesla avrebbe smaltito alcune centraline che erano state sostituite. 

Il 14 maggio, il proprietario di una Tesla ha detto a InsideEVs che la Casa californiana aveva denunciato il furto di un camion che trasportava quelle centraline e, contestualmente, che alcune di quelle si trovavano in vendita su eBay. Tesla, impegnata anche nell'organizzazione del Battery Day, non ha fornito ulteriori dettagli sull'accaduto, ma il problema persiste, perché all'interno di quelle centraline si trovano ancora tanti dati dei clienti.

Non solo Usa

L'hacker GreenTheOnly, che per primo ha raccontato la storia, ha trovato online le centraline usate e ha scoperto che alcune erano in vendita anche in Europa. Essendo offerte a prezzi di circa 80 euro, ne ha comprate uno stock e ha scoperto che contenevano i dati di automobilisti del Vecchio Continente. 

E alcuni di quegli stessi automobilisti europei hanno trovato i dati provenienti dalle centraline rubate in vendita online

Il problema spam

InsideEVs, allora, si è messa in contatto con cinque clienti Tesla i cui dati personali sono finiti in rete e di questi, soltanto uno ha detto di non essere stato bombardato di messaggi su Facebook, WhatsApp o email. Si tratta di L.S., vive in Austria, e ha sostituito la sua centralina il 2 dicembre del 2019 nel centro Tesla di Wals. 

Gli altri 4 automobilisti, che vivono tra Olanda, Belgio e Regno Unito, sono stati oggetto di numerosissimi messaggi arrivati dai canali più disparati. Tutti hanno anche lamentato il fatto che Tesla non li abbia avvertiti per informarli dell'accaduto. 

In attesa di un aggiornamento Tesla HW o MCU? Fai attenzione ai tuoi dati

La storia di Daniel

I 5 automobilisti raggiunti hanno preferito restare anonimi. Tutti tranne Daniel DiBattista, proprietario di una Tesla Model 3 Long Range AWD. DiBattista ha riscontrato problemi nella ricezione della radio e ha portato in riparazione l'auto a inizio 2020.

Il 13 febbraio gli è stata sostituita una centralina, per quanto il modulo FM si trovasse separato dal pezzo coinvolto. Infatti, poco dopo, un altro intervento ha provveduto a sostituire quello, risolvendo il problema.

DiBattista adesso vuole capire come accordarsi con Tesla per trovare un qualche tipo di compensazione per il danno subito. Oltre ad esser stato costretto a cambiare tutte le password, ha dovuto avvertire anche tutti i suoi contatti del fatto che numeri di telefono e indirizzi email erano finiti nelle mani di qualcuno.

In attesa di un Retrofit Tesla HW o MCU? Fai attenzione ai tuoi dati

I riflessi del leak

L'automobilista belga che è stato intervistato da InsideEVs USA è tal R.M. Ad un primo controllo, i dati recuperati dalla sua centralina rubata indicavano un altro proprietario: J.G. Ma J.G., che vive in Francia, non ha mai posseduto una Tesla. Contattato, ha detto che l'unico legame con la Casa californiana era rappresentato proprio da R.M., suo cognato.

Questo episodio ha dimostrato che il data leak non ha interessato soltanto i malcapitati proprietari di un'auto della Casa, ma in qualche caso anche la loro rete di contatti personali.

Anche in questo caso, R.M. si è detto frustrato per il fatto che nessuno si sia messo in contatto con lui per spiegare l'accaduto. "Sono stato io a doverli sentire - ha detto - e adesso vorrei che rispondessero in modo adeguato, senza ignorare la questione".

Il caso in UK

J.W., residente in Gran Bretagna, ha raccontato una storia simile. Ha sostituito la centralina nel centro Tesla di Heathrow il 23 gennaio 2020 e poco dopo sono iniziati i problemi. "All'inizio ho creduto fosse un'email di phishing o qualcosa del genere, poi ho iniziato a leggere articoli al riguardo sul vostro sito e ho iniziato a preoccuparmi".

"Avevo anche pensato di chiedere che la centralina sostituita mi fosse consegnata, ma poi ho lasciato perdere". Anche J.W., dopo i primi messaggi di spam, si è messo in contatto con la Casa, visto che nessuno lo aveva avvertito del fatto che la sua centralina era andata perduta.

In attesa di un Retrofit Tesla HW o MCU? Fai attenzione ai tuoi dati

Tesla cripta i dati

La Casa ha mantenuto il silenzio con gli automobilisti, ma non è assolutamente rimasta con le mani in mano. A metà maggio, qualche giorno dopo che il primo articolo su InsideEVs USA è stato pubblicato, ha rilasciato un aggiornamento OTA del proprio software - il 2020.16.2.1 - con il quale ha inserito un codice per criptare i dati degli automobilisti.

Ma non è stato rilasciato per tutte le centraline. Almeno stando a quello che ci ha raccontato l'hacker Mr. Green, che ha spiegato: "alcune Tesla ora hanno le informazioni criptate. Ma non so quante al momento abbiamo beneficiato di questo aggiornamento. La mia ha ancora i dati in chiaro. Su Twitter sono sempre di più i possessori di una Tesla che dichiarano di aver aggiornato il sistema, ma io non sono ancora riuscito a farlo".

Ora siamo al sicuro?

Ma l'aggiornamento software sarà in grado di proteggere i dati anche in caso di nuovo furto delle centraline? "Il codice per criptare i dati non è perfetto - ha spiegato Mr.Green - ma va bene. Almeno, non permetterà a chiunque di entrare in possesso di informazioni personali". 

Abbiamo anche chiesto a Tesla una spiegazione su come funzioni il nuovo sistema di protezione, ma la Casa non ha ancora dato una risposta

La comunicazione ai clienti

Mentre noi attendiamo, restando in contatto con alcuni automobilisti vittime del data leak, abbiamo saputo che Tesla ha in realtà informato i malcapitati con un messaggio proveniente dal Tesla Data Protection Office in cui viene ricostruita l'intera vicenda. 

In sintesi, la Casa informa dell'avvenuto incidente che ha portato alla diffusione di dati personali di un numero ristretto di clienti e che, per questo motivo, consiglia agli stessi clienti contattati di valutare come agire per proteggere al meglio i propri dati.

Nella mail si spiega inoltre che il 16 aprile 2020 alcune delle centraline sostituite sono state "prese senza autorizzazione" da un magazzino Tesla e che immediatamente dopo la Casa ha avviato un'indagine per capire dove fossero finite.

In attesa di un aggiornamento Tesla HW o MCU? Fai attenzione ai tuoi dati

Non ci sono dati bancari

Le informazioni rubate riguardano nome e cognome, vari username e password, calendari digitali sincronizzati, cronologia web, destinazioni salvate sul navigatore e ascolti musicali. La Casa specifica che non ci sono informazioni finanziarie o su carte di credito

Cosa fare in Europa

InsideEVs ha contattato anche l'ufficio europeo di protezione dati di Tesla e ha chiesto informazioni su come eventualmente tutelarsi nel caso si sia subito il furto dei dati. L'ufficio ha risposto che gli automobilisti possono rivolgersi alle autorità competenti. 

Oltre a questo, possono anche rivolgersi a Tesla, che può dare tutte le informazioni necessarie su come cambiare le password, su come monitorare attività sospette dei propri account e su come avvertire tutti i propri contatti su quello che è accaduto.