Данные подержанных Jaguar Land Rover доступны прежним владельцам

Данные подержанных Jaguar Land Rover доступны прежним владельцам

Предыдущие владельцы по-прежнему могут управлять подключенным автомобилем после его продажи.

image

Данные и online-управление автомобилями Jaguar Land Rover по-прежнему доступны предыдущим владельцам после продажи. К такому выводу пришли эксперты издания The Register на основании собственного расследования.

Первым о проблеме сообщил инженер Мэтт Уоттс (Matt Watts). В своем блоге он опубликовал пост, посвященный подключенным автомобилям и собираемым ими данным. Правда, изначально марку Jaguar Land Rover инженер не называл.

По словам Уоттса, приобретенный им подержанный Land Rover позволял удаленно управлять системой климат-контроля, вызывать службу техподдержки, загружать GPS-данные о пункте назначения и пр. Инженер загрузил на свой смартфон соответствующее приложение и стал экспериментировать.

По восьмизначному идентификационному номеру транспортного средства (VIN) он нашел в интернете учетную запись своего автомобиля. Как оказалось, она была привязана к чужой учетной записи. Уоттс связался с автодилером, сообщившим, что предыдущий владелец автомобиля должен был отвязать свою учетную запись перед его продажей. Автодилер порекомендовал инженеру самому связаться с предыдущим владельцем и попросить его отвязать свой аккаунт.

На этом проблемы не закончились. Уоттс не смог использовать функционал автомобиля, поскольку предыдущий владелец по-прежнему мог им управлять. «Он (предыдущий владелец – ред.) мог открывать замки, удаленно управлять системой климат-контроля без моего ведома, даже когда машина не ехала, он все равно теоретически мог следить за спутниковой навигацией, вызывать техподдержку, и все это без моего ведома», – сообщил Уоттс.

По словам инженера, машина собирала данные о нем и его местоположении и отправляла совершенно постороннему человеку, которому она раньше принадлежала.

После публикации Уоттса автопроизводитель выпустил целый ряд заявлений внушительных размеров. «Если клиент продает автомобиль Jaguar Land Rover продавцу розничной торговли, розничный торговец в рамках процесса покупки должен удостовериться в том, что клиент очистил все свои учетные записи и удалил транспортное средство с портала InControl. Автодилер также обязан сообщить клиенту, продающему/обменивающему транспортное средство, что он может отвязать свои учетные записи», – сообщается в одном из заявлений.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle