Дочерняя компания немецкой Volkswagen, Cariad, раскрыла данные примерно 800 тыс. владельцев электромобилей группы. Компания-разработчик программного обеспечения хранила терабайты данных пользователей в облачном хранилище Amazon, которое оставалось незащищённым в течение нескольких месяцев. Это позволяло отслеживать перемещение водителей и собирать личные данные.
В раскрытых базах данных содержались сведения об автомобилях VW, Seat, Audi и Skoda, причём для 460 тыс. из них точность геолокации составляла несколько сантиметров.
Доступ к данным стал возможен благодаря некорректной конфигурации двух приложений Cariad. В конце прошлого месяца о проблеме компанию предупредила Chaos Computer Club (CCC) — организация этичных хакеров, которая выступает за безопасность, конфиденциальность и свободный доступ к информации.
Раскрытые данные затронули только зарегистрированные в онлайн-сервисах автомобили. Более того, свыше 30 отслеживаемых автомобилей принадлежали полиции Гамбурга, а часть — сотрудникам разведывательной службы Германии.
Хакеры CCC получили доступ к данным, обойдя несколько механизмов безопасности, что потребовало весьма много времени и технических знаний. Специалистам пришлось объединить различные наборы данных, чтобы связать их с конкретными пользователями.
Собранные изданием Spiegel IT-эксперты и журналисты при помощи свободно распространяемого ПО смогли обнаружить данные о местоположении автомобилей двух немецких политиков.
Инструменты искали открытые ассеты Cariad, содержащие файлы с конфиденциальной информацией, в результате чего была обнаружена копия дампа памяти в приложении разработчика софта. Там же нашли ключи доступа к облачному хранилищу на Amazon, где Cariad хранила данные, собранные с транспортных средств клиентов Volkswagen Group.
Большинство затронутых машин находилось в Германии — 300 тыс. Однако проблема коснулась владельцев электромобилей в Норвегии — 80 тыс., Швеции — 68 тыс. — Великобритании — 63 тыс., Нидерландах — 61 тыс., Франции — 53 тыс., Бельгии — 68 тыс. и Дании — 35 тыс.
Cariad отреагировала на проблему безопасности и закрыла доступ в день отправки предупреждения CCC. Разработчик софта заявил об отсутствии доказательств, что третьи лица имели доступ к раскрытым данным, кроме хакеров CCC. Опцию обработки данных можно отключить в любое время, уточнила Cariad.
Ранее в этом месяце исследователи кибербезопасности PCAutomotive рассказали о 12 новых уязвимостях в работе системы связи и передачи данных информационной системы автомобилей другой компании VW — Skoda. Эксперты смогли удалённо активировать некоторые элементы управления машин. Это позволяло следить за водителями, подслушивать разговоры и отслеживать местоположение в реальном времени.
Источник новости: habr.com
