Дослідження, проведене експертом з кібербезпеки Роменом Маршаном з компанії Quarkslab, виявило, що навіть автомобілі, які були списані, можуть зберігати чутливу інформацію про своїх власників протягом тривалого часу. Доступ до цих даних можна отримати без використання складних методів злому. Вони залишаються доступними навіть після утилізації.
У рамках експерименту дослідник придбав телематичний модуль (TCU), що раніше використовувався в електромобілі BYD Seal, через онлайн-майданчик з розборки автомобілів. Після детального аналізу з’ясувалося, що пристрій базується на рішеннях Qualcomm і використовує пам’ять від Micron Technology. Отримавши доступ до NAND-накопичувача, дослідник зміг витягти файлову систему на базі Linux, яка містила системні налаштування та журнали роботи. Важливо зазначити, що ці дані не були зашифровані, що значно спростило їх отримання.
Журнали містили детальну інформацію про переміщення автомобіля. В результаті вдалося відтворити весь маршрут авто — від виробництва в Китаї до експлуатації у Великій Британії та подальшої утилізації в Польщі. Особливу увагу привернула група GPS-координат, що дозволила визначити точну локацію та зіставити її з дописом у Facebook про ДТП. Дані повністю збіглися з інцидентом за участю цього автомобіля, що свідчить про те, що телематичний модуль фактично є довготривалим сховищем користувацьких даних.
За словами Ромена Маршана, подібні підходи використовуються не лише компанією BYD, але й іншими виробниками автомобілів. Це свідчить про системну проблему в архітектурі сучасних підключених автомобілів. Навіть скидання до заводських налаштувань не гарантує повного видалення інформації. У транспортних засобах присутня велика кількість електронних блоків керування (ECU), частина з яких не має доступного користувацького інтерфейсу.
Ця ситуація створює серйозні ризики витоку даних, включаючи маршрути, поведінкові звички та іншу чутливу інформацію. Це особливо актуально для компаній, що займаються прокатом, лізингом та управлінням автопарками. Експерти рекомендують дотримуватися цифрової гігієни: не підключати особисті пристрої до чужих автомобілів і виконувати скидання налаштувань. Проте навіть ці заходи не гарантують повного видалення даних.
Сучасні автомобілі зберігають дані локально та передають їх виробникам для аналітики та покращення сервісів. При цьому користувачі часто не знають, які саме дані зберігаються. Незважаючи на дію General Data Protection Regulation в ЄС, який передбачає анонімізацію персональної інформації, в автомобільній сфері це реалізується складніше. Частина даних залишається прив’язаною до автомобіля для роботи навігаційних систем, систем допомоги водію та OTA-оновлень. В результаті, навіть після завершення життєвого циклу автомобіля, дані користувача можуть зберігатися і потенційно бути доступними третім особам.