Błąd w konfiguracji powoduje poważny wyciek
Firma Cariad, odpowiedzialna za oprogramowanie motoryzacyjne w koncernie Volkswagen, ogłosiła, że dane z około 800 000 elektrycznych pojazdów zostały ujawnione w Internecie. W wyniku tego incydentu, które miało miejsce w chmurze Amazon, nieupoważnione osoby mogły uzyskać dostęp do szczegółowych informacji dotyczących właścicieli samochodów. Dane te obejmowały m.in. lokalizację pojazdów, a także informacje mogące zostać powiązane z danymi osobowymi kierowców.
Problem dotyczył pojazdów Volkswagena, Audi, Seata i Skody. Wyciekłe dane geolokalizacyjne były wyjątkowo precyzyjne, sięgając nawet kilku centymetrów, co umożliwiało dokładne śledzenie ruchów samochodów. W szczególności dotyczyło to samochodów, które były podłączone do internetu, a ich dane były rejestrowane w usługach online.
Luźne zabezpieczenia w chmurze Amazon
Do ujawnienia danych doszło przez nieprawidłową konfigurację aplikacji Cariad w dwóch systemach informatycznych. W efekcie, przez kilka miesięcy, terabajty danych pozostały bez odpowiedniej ochrony. Jak tłumaczył przedstawiciel firmy, luka w zabezpieczeniach pozwalała na dostęp do wrażliwych informacji przez osoby posiadające podstawową wiedzę techniczną. Dzięki temu mogli oni śledzić położenie samochodów w czasie rzeczywistym i gromadzić dane osobowe właścicieli.
Kiedy organizacja Chaos Computer Club (CCC), która specjalizuje się w testowaniu zabezpieczeń, dowiedziała się o tej luce, natychmiast przeprowadziła testy na niezabezpieczonych danych. Organizacja, będąca największą grupą etycznych hakerów w Europie, poinformowała firmę Cariad o problemie 26 listopada 2024 roku. CCC również przekazała szczegóły techniczne umożliwiające zabezpieczenie systemu.
Szczegóły wycieku i jego konsekwencje
Wyciek danych obejmował nie tylko szczegóły dotyczące pojazdów, ale także dane geolokalizacyjne, które pozwalały na precyzyjne śledzenie każdego ruchu samochodów. Z około 800 000 pojazdów, dane geolokalizacyjne dotyczące 460 000 pojazdów stały się dostępne. Dla niektórych z tych samochodów lokalizacja była tak dokładna, że umożliwiała określenie ich pozycji z dokładnością do dziesięciu centymetrów.
Incydent dotknął nie tylko prywatnych właścicieli samochodów, ale również floty służb publicznych. Wśród wyciekłych danych znalazły się informacje o pojazdach, które należały do hamburskiej policji, a także o autach, które były wykorzystywane przez pracowników służb wywiadowczych.
Choć przedstawiciele Cariad zapewniają, że dostęp do danych wymagał ominięcia kilku mechanizmów ochrony, taki incydent może mieć poważne konsekwencje. Nie tylko dla samych użytkowników pojazdów, którzy mogą stać się celem cyberprzestępców, ale również dla wizerunku Volkswagena, Seata, Audi i Skody. Zastosowanie tak zaawansowanej technologii geolokalizacyjnej, której dokładność wynosi kilka centymetrów, stawia pod znakiem zapytania bezpieczeństwo danych w branży motoryzacyjnej.
Warto również zauważyć, że dostęp do danych samochodów był możliwy tylko w przypadku pojazdów podłączonych do internetu. Z tego powodu, tylko pojazdy, które były aktywnie zarejestrowane w usługach online, mogły stać się celem cyberataku.
Wnioski i rekomendacje
Cała sytuacja podkreśla rosnącą potrzebę zabezpieczania danych w erze internetu rzeczy, zwłaszcza w przypadku samochodów elektrycznych, które coraz częściej korzystają z usług online. Firmy zajmujące się oprogramowaniem motoryzacyjnym muszą wprowadzić odpowiednie procedury ochrony danych, aby uniknąć podobnych wycieków w przyszłości.
Z kolei użytkownicy samochodów powinni być świadomi zagrożeń związanych z nowoczesnymi technologiami, szczególnie w kontekście śledzenia ich aktywności online.
