The Big Tesla Hack: l’hacker (buono) che ottenne il controllo della flotta
Tesla è oggi sinonimo di sicurezza, sia per quanto riguarda le vetture prodotte sia per quanto riguarda la tecnologia. Ma lo sviluppo e il progressivo passaggio alla guida autonoma e sempre più connessa con la casa madre, può produrre, come nei fatti è avvenuto, una falla nel sistema. Oggi è ricordato come The Big Tesla Hack il periodo nel quale un hacker, fortunatamente privo di cattive intenzioni, riuscì a ottenere il controllo di tutto il sistema Tesla e, quindi, dell’intera flotta di vetture prodotte.
The Big Tesla Hack: quel 2017 un po’ particolare
Fu proprio il CEO Elon Musk che, paradossalmente, nel luglio 2017 sul palco della National Governors Association riunita a Rhode Island, rivelò come una delle sue preoccupazioni più grandi fosse che l’intera flotta di Tesla subisse un attacco hacker, cosa più facile durante la migrazione alla guida autonoma. Scherzando, ma non troppo, rivelò che:
“[…] Se qualcuno fosse in grado di hackerare tutte le Tesla autonome, potrebbe dire – intendo solamente per scherzo – ‘Mandali tutti a Rhode Island!’ a tutti proprietari degli Stati Uniti. E questo farebbe la fine di Tesla, oltre al fatto che ci sarebbero molte persone arrabbiate a Rhode Island”.
Elon Musk, in realtà, sapeva benissimo che questo rischio era stato sventato pochi mesi prima, rischio di cui il pubblico non era venuto a conoscenza. In quello stesso 2017, pochi mesi prima, era uscito allo scoperto Jason Hughes, noto nei forum della comunità Tesla con il nickname WK057. Hughes era anche uno dei primi membri del gruppo Root Access di Tesla, ovvero un gruppo di proprietari di vetture del marchio americano che avrebbero hackerato le loro auto in modo da ottenerne un maggiore controllo e anche sbloccare delle funzionalità inedite.
The Big Tesla Hack: pericolo sventato
Hughes in quel periodo usava le sue conoscenze per armeggiare con i veicoli Tesla recuperati in modo da costruire dei sistemi di accumulo di energia off-grid (similmente agli impianti fotovoltaici) e anche kit di conversione elettrica. Questo hobby, nel tempo, è diventato un’attività: Hughes, infatti, vende componenti Tesla da veicoli che ha recuperate costruendo dei controller per aiutare le persone a realizzare dei progetti usando proprio quelle componenti.
Non solo: l’uomo usava la sua abilità ed esperienza con la tecnologia con gli stessi veicoli Tesla e il software dell’azienda, con l’obiettivo di segnalare tutte le vulnerabilità presenti nei sistemi della casa automobilistica. Questa pratica non è sconosciuta, ed è il lato buono dell’hacking: si chiama, infatti, whitehat hacking e viene fatto da molti utenti appassionati, e per diverse aziende che poi premiano tutte le persone che trovano e segnalano bug e vulnerabilità del sistema.
Tuttavia, quando Tesla ha iniziato a dare ai clienti più dati sulle stazioni Supercharger, in modo da verificare quanti caricatori sono effettivamente disponibili in una stazione, Hughes decise di curiosare e vedere se aveva la possibilità di esporre i dati. E, in effetti, riuscì a trovare una falla nel server di quel meccanismo che gli consentì di ottenere i dati di tutti i Supercharger nel mondo in pochi minuti. Hughes ha poi condiviso i dati sul forum Tesla Motors Club.
Inizialmente, i vertici di Tesla non erano molto contenti. Qualcuno dell’azienda, infatti, pubblicò anonimamente un post su quel forum dichiarando che l’azienda non voleva che quei dati venissero condivisi. Hughes, allora, rispose che ne avrebbe volentieri discusso con loro e 20 minuti dopo, stando alle sue dichiarazioni, era già in conferenza con il capo della rete Supercharger e con il capo della sicurezza del software Tesla. I due dirigenti spiegarono che era meglio non condividere quei dati, che erano accessibili dai veicoli, motivo per cui l’hacker ha smesso di indagare e di divulgare i dati aziendali. Anche per questo, e dopo aver segnalato l’exploit del suo server in via legale, e quindi usando il servizio di segnalazione creato da Tesla, Hughes ha ricevuto dall’azienda una ricompensa di 5000 dollari per aver esposto la vulnerabilità, cosa che lo ha spinto a smanettare ancora di più, andando a trovare nuovi bug nei sistemi aziendali.
Uno dei bug più importanti riguardava il pilota automatico e la guida autonoma, all’epoca molto meno sviluppata che adesso, e in particolare la funzionalità Summon, che consentiva ai proprietari di spostare a distanza le auto avanti e indietro di poche decine di km senza nessuno a bordo e che, però, era piuttosto vulnerabile al punto che Hughes potenzialmente poteva spostare tutte le Tesla a suo piacimento. Fortunatamente, si era mantenuto in contatto con Tesla per cui, su richiesta dell’azienda, comunicò il numero VIN del veicolo più vicino a lui e “convocando” l’automobile sita in California a casa sua in North Carolina. L’auto non avrebbe potuto arrivare fino a lì, ma Hughes stesso disse scherzosamente a Tesla che l’aver trovato un bug così importante valeva quanto una Tesla nuova.
The Big Tesla Hack: tutto è bene quel che finisce bene
Alla fine, l’hacker non ha ottenuto una nuova Tesla, ma una ricompensa maxi di 50.000 dollari, cifra decisamente superiore al limite massimo di ricompensa dei bug. Inoltre, Tesla ha usato tutte le informazioni ricevute da Hughes e dalle sue “visitine” al sistema per migliorare e aumentare sensibilmente la protezione della sua rete: in poche ore, lavorando di notte, gli sviluppatori sono riusciti a correggere completamente il bug nel sistema, mentre in pochi giorni hanno eliminato tutta la catena di bug scovata dall’Hacker buono e che gli aveva permesso di entrare a controllare il sistema.
The Big Tesla Hack ha portato l’azienda di Elon Musk ad aumentare sensibilmente i suoi sforzi per proteggere la sua rete informatica complessiva. Inoltre, l’anno successivo l’azienda ha portato a 15.000 dollari la ricompensa massima per la segnalazione dei bug, rinforzando il team di sicurezza e migliorando il suo rapporto con gli hacker partecipando alle conferenze sull’hacking. Non a caso, ha portato le sue vetture come bersagli alla Pwn20en, una delle competizioni di hacking più popolari negli States.
Copyright Image: Sinergon LTD
