Утилізовані автомобілі роками зберігають персональні дані власників — і їх легко відновити

Дослідження фахівця з кібербезпеки Ромен Маршан з Quarkslab показало, що навіть списані автомобілі можуть тривалий час зберігати чутливу інформацію про користувачів, причому доступ до неї не потребує складних методів злому.

Дані залишаються навіть після утилізації

У межах експерименту дослідник придбав телематичний модуль (TCU), який раніше використовувався в електромобілі BYD Seal, через онлайн-майданчик із розборки авто.

Після аналізу з’ясувалося, що пристрій побудований на базі рішень Qualcomm та використовує пам’ять від Micron Technology. Отримавши доступ до NAND-накопичувача, дослідник зміг витягти файлову систему на базі Linux із системними налаштуваннями та журналами роботи.

Важливо, що ці дані не були зашифровані, що значно спростило їх отримання.

Повна історія переміщень

Журнали містили детальні записи про переміщення автомобіля. Фактично вдалося відтворити весь шлях авто — від виробництва в Китаї до використання у Великій Британії та подальшої утилізації в Польщі.

Особливу увагу привернула група GPS-координат в одному місці. Аналіз дозволив визначити точну локацію та зіставити її з дописом у Facebook про ДТП. Дані повністю збіглися з інцидентом за участю цього автомобіля.

Це свідчить про те, що телематичний модуль фактично виступає довготривалим сховищем користувацьких даних.

Проблема ширша за одного виробника

За словами Ромен Маршан, подібні підходи використовуються не лише компанією BYD, а й іншими автовиробниками. Це вказує на системну проблему в архітектурі сучасних підключених автомобілів.

Навіть скидання до заводських налаштувань не гарантує повного видалення інформації. У транспортних засобах використовується багато електронних блоків керування (ECU), частина з яких не має доступного користувацького інтерфейсу.

Ризики для користувачів і бізнесу

Ситуація створює серйозні ризики витоку даних, зокрема маршрутів, поведінкових звичок та іншої чутливої інформації. Особливо це актуально для компаній прокату, лізингу та управління автопарками.

Фахівці радять дотримуватися цифрової гігієни: не підключати особисті пристрої до чужих авто та виконувати скидання налаштувань. Втім, навіть ці заходи не гарантують повного видалення даних.

Обмеження регулювання та технічні труднощі

Сучасні автомобілі зберігають дані локально та передають їх виробникам для аналітики і покращення сервісів. При цьому користувачі часто не знають, які саме дані зберігаються.

Попри дію General Data Protection Regulation у ЄС, який передбачає анонімізацію персональної інформації, в автомобільній сфері це реалізується складніше. Частина даних залишається прив’язаною до авто для роботи навігації, систем допомоги водію та OTA-оновлень.

У результаті навіть після завершення життєвого циклу автомобіля дані користувача можуть зберігатися та потенційно бути доступними третім особам.