Данные владельцев 800 тысяч электромобилей Volkswagen оказались в открытом доступе
Компания Cariad, разработчик ПО для концерна Volkswagen, допустила утечку данных около 800 тысяч электромобилей. Информация могла быть связана с именами водителей и раскрывать точное местоположение автомобилей.
Терабайты данных клиентов Volkswagen хранились в облачном хранилище Amazon без должной защиты в течение нескольких месяцев. Это позволило любому человеку с минимальными техническими знаниями отслеживать перемещения водителей или собирать личную информацию. Уязвимость затронула автомобили марок Volkswagen, Seat, Audi и Skoda. В некоторых случаях точность геолокации достигала нескольких сантиметров. Представитель Cariad сообщил изданию BleepingComputer, что доступ к данным стал возможен из-за неправильной конфигурации двух IT-приложений.
О проблеме Cariad стало известно 26 ноября от Chaos Computer Club (CCC), крупнейшей европейской организации этичных хакеров. Как сообщает немецкое издание Spiegel, CCC узнало об уязвимости от информатора и протестировало небезопасный доступ, прежде чем сообщить о нем Cariad и Volkswagen.
Из почти 800 тысяч уязвимых автомобилей геолокационные данные были обнаружены для 460 тысяч. По данным Spiegel, немногим более 30 автомобилей принадлежали полиции Гамбурга, а другие — предположительно сотрудникам разведки. Cariad утверждает, что хакеры CCC смогли получить доступ к данным только после обхода нескольких механизмов безопасности, что потребовало значительного времени и технических навыков. Кроме того, данные были зашифрованы, и хакерам пришлось комбинировать различные наборы данных, чтобы связать их с конкретным пользователем.
Однако команда IT-экспертов и журналистов Spiegel, используя общедоступное ПО, нашла информацию о местоположении автомобилей двух немецких политиков. Хакеры обнаружили дамп памяти внутреннего приложения Cariad, содержащий ключи доступа к облачному хранилищу Amazon, где Cariad хранила сведения, собранные с автомобилей клиентов Volkswagen Group.
Cariad заверила, что ее специалисты безопасности оперативно устранили проблему в тот же день, когда CCC отправил им отчет. CCC подтвердил быструю и ответственную реакцию Cariad. Компания утверждает, что нет никаких доказательств того, что кто-либо, кроме хакеров CCC, имел доступ к данным или что информация была использована третьими лицами. Также подчеркивается, что CCC имел доступ только к собранным данным, но не к самим автомобилям.
Cariad напоминает, что клиенты Volkswagen Group могут согласиться на использование продуктов и услуг, требующих обработки персональных данных, и в любой момент деактивировать эту опцию. Компания объясняет, что собранные данные помогают «предоставлять, разрабатывать и улучшать цифровые функции», например, оптимизировать будущие поколения аккумуляторов и ПО для зарядки. При этом данные хранятся в облаке таким образом, чтобы защитить личность клиента. Cariad подчеркивает, что собирает, хранит, передает и использует персональные данные исключительно в рамках правовых норм и существующих договорных отношений.
overclockers.ru прочитано 2324 раза
