Compania de software auto a Volkswagen, Cariad, a expus datele colectate de la aproximativ 800.000 de mașini electrice. Informațiile ar putea fi legate de numele șoferilor și ar putea dezvălui locațiile precise ale vehiculelor.
Terabiți de detalii ale clienților Volkswagen stocate în cloud-ul Amazon au rămas neprotejate timp de luni de zile, permițând oricui cu puține cunoștințe tehnice să urmărească mișcările șoferilor sau să adune informații personale.
Bazele de date expuse includ detalii pentru vehicule VW, Seat, Audi și Skoda, cu date de geo-localizare pentru unele dintre ele fiind precise la câțiva centimetri.
Accesul la datele mașinilor a fost posibil datorită configurației incorecte a Cariad în două aplicații IT, a declarat un reprezentant al companiei pentru BleepingComputer.
Cariad a fost informată în 26 noiembrie despre problema de Chaos Computer Club (CCC), cea mai mare organizație de hackeri etici din Europa, care timp de peste 30 de ani a promovat securitatea, confidențialitatea și accesul gratuit la informații.
Conform publicației germane Spiegel, CCC a aflat despre vulnerabilitate de la un whistleblower și a testat accesul nesigur înainte de a informa Cariad și Volkswagen și de a furniza detalii tehnice.
Într-o declarație pentru BleepingComputer, un reprezentant al Cariad a spus că datele expuse au afectat doar vehiculele conectate la internet și care fuseseră înregistrate pentru servicii online.
Din cele aproape 800.000 de vehicule expuse, cercetătorii au găsit date de geo-localizare pentru 460.000 de mașini, pentru unele dintre ele cu o precizie de zece centimetri.
Peste 30 de vehicule făceau parte din flota de mașini de patrulare a poliției din Hamburg, în timp ce altele aparțineau angajaților serviciilor secrete suspectați, relatează Spiegel.
Compania a declarat că hackerii CCC au putut accesa datele doar după ce au ocolit mai multe mecanisme de securitate care necesitau timp semnificativ și expertiză tehnică.
În plus, deoarece datele individuale ale vehiculelor erau pseudonimizate în scopuri de confidențialitate, hackerii au trebuit să combine diferite seturi de date pentru a asocia detaliile cu un anumit utilizator.
Cu toate acestea, Spiegel a adunat o echipă de experți IT și jurnaliști care au găsit detalii de locație colectate de la mașinile a doi politicieni germani, Nadja Weippert și membrul Bundestag Markus Grübel, folosind software gratuit disponibil.
Instrumentele au căutat active Cariad expuse care conțineau fișiere cu informații sensibile, ceea ce a condus la descoperirea unei copii a unui dump de memorie dintr-o aplicație Cariad internă.
În dump-ul de memorie hackerii au descoperit chei de acces către o instanță de stocare în cloud pe Amazon, unde Cariad salva datele colectate de la vehiculele clienților grupului Volkswagen.
Spiegel raportează că unele puncte de date se refereau la locația longitudinii și latitudinii mașinilor când motorul electric era oprit.
„În cazul modelelor VW și Seat, aceste date geospațiale erau precise în limitele a zece centimetri, iar pentru Audi și Skoda în limitele a zece kilometri și, prin urmare, erau mai puțin problematice” – Spiegel
Cele mai multe dintre vehiculele afectate, 300.000 dintre ele, erau în Germania, dar cercetătorii au găsit și detalii despre mașini în Norvegia (80.000), Suedia (68.000), Regatul Unit (63.000), Olanda (61.000), Franța (53.000), Belgia (68.000) și Danemarca (35.000).
Cariad a declarat pentru BleepingComputer că echipa sa de securitate a reacționat rapid pentru a remedia problema și a închis accesul în aceeași zi în care CCC le-a trimis raportul.
Reprezentanții CCC au confirmat pentru Spiegel că „echipa tehnică a Cariad a răspuns rapid, complet și responsabil” și că compania a reacționat în decurs de câteva ore de la primirea detaliilor tehnice.
Pe baza rezultatelor investigației sale, Cariad nu are dovezi care să sugereze că alte părți, în afară de hackerii CCC, au avut acces la datele vehiculelor expuse sau că informațiile au fost folosite în mod greșit de o terță parte.
Compania subliniază de asemenea că CCC a avut acces doar la datele colectate de la vehicule și nu a putut accesa mașinile în sine.
Cariad spune că clienții mărcilor din grupul Volkswagen pot fi de acord să utilizeze produse și servicii care necesită prelucrarea datelor personale și pot dezactiva opțiunea în orice moment.
Cu toate acestea, compania menționează că datele colectate de la vehicule îi ajută să „furnizeze, să dezvolte și să îmbunătățească funcțiile digitale” pentru clienții săi, precum și să creeze beneficii suplimentare.
„Fără aceste date, funcțiile inteligente, digitale și personalizate nu ar putea fi furnizate, optimizate sau extinse” – Cariad
Ca exemplu, compania explică faptul că comportamentul și obiceiurile de încărcare ale clienților sunt anonimizate și ajută la optimizarea viitoarelor generații de baterii și software-uri de încărcare.
În același timp, datele colectate sunt stocate în cloud într-un mod care protejează identitatea clientului și mișcarea acestuia cu vehiculul.
„Mărcile din grupul Volkswagen colectează, stochează, transmit și folosesc date personale exclusiv în cadrul reglementărilor legale și al unei relații contractuale existente, al intereselor legitime sau al consimțământului explicit al clientului”, declară Cariad.
Compania de software auto mai spune că folosește practici puternice de protecție a datelor, care includ stocarea separată a punctelor de date, drepturi restrictive de acces, pseudonimizare și anonimizare, precum și agregarea și procesarea datelor în cadrul scopurilor declarate.
Leave a Reply