Предыдущие владельцы по-прежнему могут управлять подключенным автомобилем после его продажи.
Данные и online-управление автомобилями Jaguar Land Rover по-прежнему доступны предыдущим владельцам после продажи. К такому выводу пришли эксперты издания The Register на основании собственного расследования.
Первым о проблеме сообщил инженер Мэтт Уоттс (Matt Watts). В своем блоге он опубликовал пост, посвященный подключенным автомобилям и собираемым ими данным. Правда, изначально марку Jaguar Land Rover инженер не называл.
По словам Уоттса, приобретенный им подержанный Land Rover позволял удаленно управлять системой климат-контроля, вызывать службу техподдержки, загружать GPS-данные о пункте назначения и пр. Инженер загрузил на свой смартфон соответствующее приложение и стал экспериментировать.
По восьмизначному идентификационному номеру транспортного средства (VIN) он нашел в интернете учетную запись своего автомобиля. Как оказалось, она была привязана к чужой учетной записи. Уоттс связался с автодилером, сообщившим, что предыдущий владелец автомобиля должен был отвязать свою учетную запись перед его продажей. Автодилер порекомендовал инженеру самому связаться с предыдущим владельцем и попросить его отвязать свой аккаунт.
На этом проблемы не закончились. Уоттс не смог использовать функционал автомобиля, поскольку предыдущий владелец по-прежнему мог им управлять. «Он (предыдущий владелец – ред.) мог открывать замки, удаленно управлять системой климат-контроля без моего ведома, даже когда машина не ехала, он все равно теоретически мог следить за спутниковой навигацией, вызывать техподдержку, и все это без моего ведома», – сообщил Уоттс.
По словам инженера, машина собирала данные о нем и его местоположении и отправляла совершенно постороннему человеку, которому она раньше принадлежала.
После публикации Уоттса автопроизводитель выпустил целый ряд заявлений внушительных размеров. «Если клиент продает автомобиль Jaguar Land Rover продавцу розничной торговли, розничный торговец в рамках процесса покупки должен удостовериться в том, что клиент очистил все свои учетные записи и удалил транспортное средство с портала InControl. Автодилер также обязан сообщить клиенту, продающему/обменивающему транспортное средство, что он может отвязать свои учетные записи», – сообщается в одном из заявлений.
Большой взрыв знаний каждый день в вашем телефоне