Jak wynika z raportu niemieckiego magazynu informacyjnego, wyciek danych ujawnił lokalizację w czasie rzeczywistym około 800 000 pojazdów elektrycznych marki Volkswagen (VW), co dotknęło właścicieli na całym świecie. Der Spiegel. Ujawnione dane obejmowały współrzędne GPS i dane osobowe.
Szczegóły i konsekwencje narażenia danych
Globalny incydent dotknął właścicieli pojazdów elektrycznych marek VW, Audi, Seat i Skoda. Dane o lokalizacji umożliwiły śledzenie, gdzie zaparkowane są pojazdy – czy to w domu, na ulicy, czy w wrażliwych miejscach, takich jak burdele. Dane zostały udostępnione publicznie ze względu na błąd w systemie zarządzanym przez spółkę zależną VW o nazwie Cariad, która zbiera dane po skonfigurowaniu aplikacji VW przez właściciela samochodu. Dzięki tej aplikacji użytkownicy mogą rozgrzać samochód, monitorować poziom naładowania akumulatora i sprawdzać pozostały zasięg, tworząc szczegółowy profil codziennych ruchów.
Der Spiegel poinformowało, że dane pozostawały ujawnione w systemie przechowywania w chmurze Amazona przez kilka miesięcy i obejmowały kilka terabajtów informacji. Zanim luka została usunięta, dostęp do tych danych nie stanowił większego wyzwania dla służb wywiadowczych, konkurencji, przestępców, a nawet zwykłych użytkowników posiadających podstawowe umiejętności. Ujawnione dane łączyły informacje o pojeździe z nazwiskami właścicieli, danymi kontaktowymi, adresami e-mail, adresami domowymi i w niektórych przypadkach numerami telefonów komórkowych.
Według doniesień błąd wynikał z błędu popełnionego zeszłego lata w systemie Cariad, który pozostał niezauważony. Poważne naruszenie wyszło na jaw, gdy sygnalista zaalarmował obie strony Der Spiegel oraz Klub Komputerowy Chaos. To ujawnienie może mieć poważne konsekwencje, w tym potencjalne śledzenie polityków lub celów przez zagraniczny wywiad i szantażowanie poszczególnych osób na podstawie ich ruchów.
Reakcje i reakcja firmy
W odpowiedzi na zapytania od Der SpiegelCariad oświadczyła, że gromadzi pseudonimizowane dane w celu ulepszania swoich baterii i oprogramowania. Firma nalegała, aby klienci nie musieli podejmować żadnych działań, ponieważ nie zostały naruszone żadne wrażliwe informacje, takie jak hasła czy szczegóły płatności. Zauważyli również, że właściciele pojazdów mają możliwość dezaktywacji usług przetwarzania danych.
Incydent został opisany jako znaczący wstyd dla VW, co podkreśla ciągłe problemy z praktykami gromadzenia danych wśród producentów samochodów w związku z postępem w zakresie łączności pojazdów. Nadja Weippert, polityk dotknięta naruszeniem, wyraziła zaniepokojenie niezaszyfrowanym przechowywaniem danych jej pojazdu, podkreślając potrzebę ograniczenia przez VW gromadzenia danych i poprawy zabezpieczeń.
Podobne zdanie wyraził Markus Grübel, kolejny polityk dotknięty naruszeniem, który określił sytuację jako „irytującą i zawstydzającą”. Zarówno Weippert, jak i Grübel zwrócili uwagę na ryzyko związane z takimi wyciekami danych w społeczeństwie, szczególnie w zakresie bezpieczeństwa osobistego i prywatności. Wyciek ten dotyczy nie tylko poszczególnych obywateli, ale obejmuje także dane dotyczące pojazdów policyjnych i potencjalnie pracowników wywiadu, wraz ze szczegółowymi informacjami, które mogą ujawnić wrażliwe informacje na temat miejsca ich pobytu.
Klub Komputerowy Chaos pochwalił szybką reakcję firmy Cariad w zakresie usunięcia luki po otrzymaniu ostrzeżenia. CCC przekazała szczegółowe informacje na temat słabych punktów w zabezpieczeniach, nalegając na szybkie zamknięcie dostępu do danych. Zauważyli, że dostęp do danych wymagał połączenia różnych zbiorów danych, wykorzystując błędną konfigurację systemu, który nie powinien był być publicznie dostępny.
Ten incydent ilustruje rosnące obawy dotyczące prywatności danych w nowoczesnych technologiach samochodowych. W badaniu przeprowadzonym w 2023 r. przez Fundację Mozilla zbadano praktyki dotyczące danych stosowane przez wiele marek samochodów i ujawniono, że wiele z nich gromadzi nadmierne dane, często większe niż jest to konieczne do funkcjonowania produktu. W badaniu zauważono, że 76 procent ocenionych marek samochodów było w stanie odsprzedać zebrane dane.
Kwestie bezpieczeństwa nie są odosobnioną sprawą VW; inni producenci samochodów również doświadczyli poważnych naruszeń. W styczniu 2023 roku hakerzy zademonstrowali możliwość uzyskania nieautoryzowanego dostępu do kont pracowników BMW, a nawet zarządzania komunikacją Mercedes-Benz. Niesławne włamanie do Jeepa w 2015 r., podczas którego specjaliści zdalnie sterowali funkcjami pojazdu, zapoczątkowało szerszą kontrolę i odpowiedzialność producentów za cyberbezpieczeństwo.
Autor wyróżnionego obrazu: Annie Spratt/Unsplash
Wpis Wyciek danych ujawnia lokalizacje 800 000 pojazdów elektrycznych Volkswagena pojawił się jako pierwszy w serwisie TechBriefly.
Source: Wyciek danych ujawnia lokalizacje 800 000 pojazdów elektrycznych Volkswagena
