Joy rijden
- Thread starter Ligth011
- Start date
- Status
Right_Said_Fred
Moderator
In plaats van verontwaardigd te doen, is het wellicht beter om na te gaan waar je zelf een steek hebt laten vallen. Iemand moet ergens van jou informatie gezien of opgepikt hebben. Want zonder zulke info krijgen alleen professionals het voor elkaar om een slot/alarm en pincode te kraken, en die zetten de auto niet terug.
BobbyKings
Blue M3P-FSD
Hij heeft in ieder geval iets van de eigenaar. Wachtwoord en mailadres van de account, of pin en sleutel(signaal).
Ooit accountgegevens op site of app van derden gebruikt?
De auto kan onmogelijk "gekraakt" worden binnen de gestelde 5 min. Dus dat is sorry dat ik het zeg een lul verhaal.
Een specialist, die echt weet hoe hij het systeem zou moeten kraken zoals jij het noemt, zet jouw auto niet terug. En gaat liever voor de bonus die hij krijgt als hij zijn hack/lek laat zien aan tesla. Tesla is challenging hackers to crack its car, and it is putting ~$1 million on the line - Electrek
Als hij geintresseerd is in de auto zet hij hem niet terug.
Dus komen we op, als dit onwaarschijnlijke verhaal klopt dan liggen er gegevens van jou op straat. Zo simpel is het.
Als jouw tesla.com gegevens beschikbaar zijn, dan is het een fluitje van een cent. Het advies was al gegeven, verander je passwords en pin. Maar het lek zit echt bij jezelf, zo stellig ben ik wel.
Daarbij waarom zou iemand eerst een risico lopen om jouw auto te stelen, en daarna nog een riscio te lopen om hem weer terug te zetten?!?! waarom dan niet een paar straten verder of beter nog daar waar hij een lege accu heeft. Dit was echt een hele brave Joyrider/dief/hacker.
Ik zou zeggen je hebt het getroffen.
Last edited:
Hippogrief
Member
MasterMace
Member
Wow... Wat een ongelooflijk aantal negatieve en aanvallende reacties. Lekker welkom voor een nieuw lid.
Meerdere keren wordt hij uitgemaakt voor leugenaar, of wordt het verhaal in twijfel getrokken,dit terwijl hij nota bene videobeelden heeft.
Aan de topic starter: het meest aannemelijke is dat iemand je login heeft bemachtigd/geraden.
Wijzig je inlog gegevens en zet 2FA aan. Wellicht ook handig om de rest van je login gegevens bij andere sites te wijzigen.
Meerdere keren wordt hij uitgemaakt voor leugenaar, of wordt het verhaal in twijfel getrokken,dit terwijl hij nota bene videobeelden heeft.
Aan de topic starter: het meest aannemelijke is dat iemand je login heeft bemachtigd/geraden.
Wijzig je inlog gegevens en zet 2FA aan. Wellicht ook handig om de rest van je login gegevens bij andere sites te wijzigen.
Groenrijder
Member
bugboy
Member
Ik ben het met je eens dat de houding wel wat anders kan, maar er zijn eigenlijk geen verhalen bekend waarbij een Tesla meegenomen kan worden, waarbij de PIN is ingeschakeld zonder dat die persoon de credentials had. Ook TS blaast hoog van de toren met zijn opmerking dat een auto van dit bedrag niet zomaar meegenomen mag worden. De enige optie is eigenlijk dat de gegevens van deze gebruikers zijn uitgelekt.
Toch valt ook Tesla hier wat te verwijten, omdat Tesla -tot voor kort- geen MFA had en ook het gebruik er van totaal ook nu niet aanmoedigt. Veel mensen zijn nu eenmaal niet op de hoogte wat je kan met die credentials. Ik denk dat voor een aantal functies Tesla MFA verplicht zou moeten stellen.
Ook zou het een goede zaak zijn dat ze voor externe applicaties aparte OAuth2 clients zouden inrichten met minder mogelijkheden. Nu kan iedereen die een OAuth2 sleutel in handen krijgt alles doen met je auto. Genoeg vage apps die hierom vragen en er zijn ook genoeg mensen die hier gebruik van maken.
@Ligth011 Ik denk eigenlijk dat een "bevriend" iemand je een lesje wil leren dat je iets voorzichtiger moet zijn. Als hij echt kwaad in de zin had gehad, dan had die de auto niet teruggezet (met alle risico's van dien). Ik heb ook een keer van een kennis zijn Tesla "gehackt", doordat hij mij het wachtwoord gaf voor zijn laptop (daar moest ik wat van oplossen). Vervolgens met datzelfde wachtwoord ingelogd op de Tesla app en ik zat er al in. Ik heb het vervolgens wat subtieler aangepakt. Om 7 uur 7x claxoneren en om 8 uur 8x claxoneren en toen stond die al op de stoep om te vragen wat er aan de hand kon zijn. Hij had natuurlijk meteen door dat ik er achter zat, maar heb hem wel meteen verteld dat hij toch wat beter moet omgaan met zijn wachtwoorden. Ik denk dat bij jou hetzelfde is gebeurd...
Iedereen die wat in het wereldje werkt, weet 2 dingen:
- MFA maakt het veel veiliger
- Gewone mensen hebben absoluut geen interesse in MFA, en geven vrolijk hun pin-code en wachtwoord aan iedereen die het vraagt en er een goed excuus voor heeft want ze hebben toch geen geheimen.
Zelfs ik werd enkele weken geleden nog gevraagd voor mijn wachtwoord op mijn laptop die ik ter reparatie binnen bracht. Of hoe je zelf het wachtwoord kreeg van je kennis om zijn probleem op zijn laptop op te lossen...
Er is niks gekraakt in de Tesla hardware. Wat is gekraakt is iets wat jij zelf geselecteerd hebt. Het is gewoon heel simpel:
a. Je hebt een heel eenvoudig wachtwoord, of
b. Je hebt een heel eenvoudige pincode, (maar dan moeten we via relay hacking in je auto komen, zeer onwaarschijnlijk als ze de auto terug zetten).
c. Een insider heeft 1 van deze 2 zaken gebruikt
Tesla doet inderdaad niet aan lokatie logging ivm privacy. Je kunt zelf een logger gebruiken zoals Teslafi or TeslaMate. Echter, gezien deze persoon zeer waarschijnlijk je wachtwoord weet kan deze persoon ook dit uitschakelen.
bugboy
Member
Maar niet iedereen werkt in het wereldje en daarom moeten deze beschermd worden. Dat doen banken al vanaf dag 1 met een authenticator, TAN codes, ... Dat is ook niet feilloos, maar maakt het al wel een heel stuk veiliger.
Met het uitlekken van je Tesla account kan je potentieel je auto kwijtraken en dus een aanzienlijke financiële schade hebben. Wat dat betreft heeft @Ligth011 nog geluk gehad. Niet dat dit fijn is, maar het had heel veel slechter af kunnen lopen. Ik hoop voor hem dat hij toch de opmerkingen in deze thread serieus neemt en een veilig en uniek wachtwoord gebruikt. Zo vaak hoef je je Tesla wachtwoord niet in te voeren. Zorg ook dat je het wachtwoord veilig opslaat en niet in je Dropbox account dat wellicht al gecompromitteerd is.
Eigenlijk is een Tesla-account zonder MFA voor een buitenstaander (gemiddelde dief) al best moeilijk; als ik een Tesla zie staan weet ik nog niet het emailadres van de bestuurder. Dus ze moeten je emailadres + je wachtwoord hebben... dat raadt je niet zo snel...
Nu ik dat schrijf bedenk ik me trouwens dat je een S en X volgens mij niet zonder sleutel kunt rijden, maar ik rij een 3 dus zeker weten doe ik het niet...
Jawel hoor daar kun je gewoon met de app mee rijden, zelfs mijn mijn oude 2013 classic kan dat, vandaar dat hier ook zo de focus ligt op misbruik van het account.
Toch denk ik eerder aan de relay hack van de sleutel, omdat hij later pas naar de auto loopt zoals de melder aangeeft en waarschijnlijk eerst dus het signaal aan het opvangen is.
De pin is wellicht afgekeken van een andere plek waar de pin gebruikt is? of is het een unieke pin?
Dat ben ik met je eens, heb geen idee hoe duur het spul is maar kleine kans dat iemand dat gewoon grappig vind voor de hobby...
Wellicht is hij om een andere reden teruggezet? bang om toch getraceerd te worden? wellicht door opmerkingen van iemand die normaal de auto's 'wegzet' of ze zijn simpelweg gestoort/ gespot door een bekende waardoor ze er toch weer vanaf wilden.
peter85
Member
Ik werd vanochtend ook verrast toen ik de portier open deed en er op datzelfde moment achter kwam dat mijn telefoon nog binnen aan de lader hing. Mijn telefoon en auto waren hemelsbreed een meter of 4 uit elkaar met een bakstenen gevel er tussen. Dat was toch wel even een eye opener...
- Status
Similar threads
