„Volkswagen“ automobilių programinės įrangos įmonė „Cariad“ atskleidė duomenis, surinktus iš maždaug 800 000 elektromobilių. Informacija gali būti susieta su vairuotojų vardais ir atskleisti tikslias transporto priemonių vietas.
Terabaitai „Volkswagen“ klientų informacijos „Amazon“ debesies saugykloje buvo neapsaugoti kelis mėnesius, todėl kiekvienas, turintis mažai techninių žinių, galėjo stebėti vairuotojų judėjimą arba rinkti asmeninę informaciją.
Atskleidžiamose duomenų bazėse yra išsami informacija apie VW, Seat, Audi ir Skoda automobilius, o kai kurių iš jų geografinės vietos duomenys yra net kelių centimetrų tikslūs.
Tikslūs geografinės vietos duomenys
Prieiga prie automobilio duomenų buvo įmanoma dėl neteisingos „Cariad“ konfigūracijos dviejose IT programose, „BleepingComputer“ sakė bendrovės atstovas.
Lapkričio 26 d. Cariad apie šią problemą informavo Chaos Computer Club (CCC), didžiausia etinių įsilaužėlių organizacija Europoje, kuri daugiau nei 30 metų propaguoja saugumą, privatumą ir laisvą prieigą prie informacijos.
Vokietijos leidinio „Spiegel“ teigimu, CCC apie pažeidžiamumą sužinojo iš pranešėjo ir patikrino nesaugią prieigą prieš informuodamas „Cariad“ ir „Volkswagen“ atsakingus ir pateikdamas technines detales.
Pareiškime „BleepingComputer“ „Cariad“ atstovas teigė, kad atskleisti duomenys paveikė tik prie interneto prijungtas transporto priemones, kurios buvo registruotos internetinėms paslaugoms.
Iš beveik 800 000 eksponuotų transporto priemonių tyrėjai rado 460 000 automobilių geografinės vietos duomenis, kai kurių iš jų dešimties centimetrų tikslumu.
Kiek daugiau nei 30 transporto priemonių buvo Hamburgo policijos patrulių automobilių parko dalis, o kitos priklausė įtariamiems žvalgybos tarnybos darbuotojams, rašo „Spiegel“.
Bendrovė teigė, kad CCC įsilaužėliai galėjo prieiti prie duomenų tik apeinant kelis saugumo mechanizmus, kuriems reikėjo daug laiko ir techninių žinių.
Be to, kadangi atskirų transporto priemonių duomenys privatumo tikslais buvo pseudonimizuoti, įsilaužėliai turėjo sujungti skirtingus duomenų rinkinius, kad susietų informaciją su konkrečiu vartotoju.
Tačiau „Spiegel“ subūrė IT ekspertų ir žurnalistų komandą, kuri, naudodama laisvai prieinamą programinę įrangą, rado iš dviejų Vokietijos politikų Nadjos Weippert ir Bundestago nario Markuso Grübelio automobilių surinktus vietos duomenis.
Įrankiai ieškojo atskleistų „Cariad“ išteklių, kuriuose buvo failų su neskelbtina informacija, todėl buvo rasta vidinės „Cariad“ programos atminties išklotinės kopija.
Atminties sąvartynoje įsilaužėliai aptiko prieigos raktus prie debesies saugyklos egzemplioriaus „Amazon“, kur „Cariad“ išsaugojo duomenis, surinktus iš „Volkswagen Group“ klientų transporto priemonių.
Spiegel praneša, kad kai kurie duomenų taškai nurodė automobilių ilgumą ir platumą, kai elektros variklis buvo išjungtas.
„VW modelių ir sėdynių atveju šie geoduomenys buvo tikslūs iki dešimties centimetrų, o Audi ir Škoda – iki dešimties kilometrų, todėl buvo mažiau problemiški“ – Spiegel
Dauguma nukentėjusių transporto priemonių, iš jų 300 000, buvo Vokietijoje, tačiau tyrėjai taip pat rado informacijos apie automobilius Norvegijoje (80 000), Švedijoje (68 000), Jungtinėje Karalystėje (63 000), Nyderlanduose (61 000), Prancūzijoje (53 000). Belgija (68 000), Danija (35 000).
Greitas pataisymas po atsakingo atskleidimo
Cariad sakė „BleepingComputer“, kad jos saugos komanda greitai sureagavo, kad išspręstų problemą, ir uždarė prieigą tą pačią dieną, kai CCC išsiuntė jiems ataskaitą.
CCC atstovai „Spiegel“ patvirtino, kad „Cariad“ „techninė komanda reagavo greitai, išsamiai ir atsakingai“ ir kad bendrovė sureagavo per kelias valandas nuo techninių detalių gavimo.
Remdamasi savo tyrimo rezultatais, „Cariad“ neturi įrodymų, leidžiančių manyti, kad kitos šalys, išskyrus CCC įsilaužėlius, turėjo prieigą prie atskleistų transporto priemonių duomenų arba kad trečioji šalis netinkamai pasinaudojo informacija.
Bendrovė taip pat pabrėžia, kad CCC turėjo prieigą tik prie duomenų, surinktų iš transporto priemonių, o prie pačių automobilių negalėjo.
„Cariad“ teigia, kad „Volkswagen Group“ prekės ženklų klientai gali sutikti naudoti produktus ir paslaugas, kuriems reikalingas asmens duomenų apdorojimas, ir bet kada gali išjungti šią parinktį.
Tačiau bendrovė pažymi, kad iš transporto priemonių surinkti duomenys padeda „pateikti, plėtoti ir tobulinti skaitmenines funkcijas“ savo klientams bei sukurti papildomos naudos.
„Be šių duomenų nebūtų galima teikti, optimizuoti ar išplėsti išmaniųjų, skaitmeninių ir personalizuotų funkcijų“ – Cariad
Kaip pavyzdį bendrovė paaiškina, kad klientų įkrovimo elgsena ir įpročiai yra anonimiški ir padeda optimizuoti būsimas akumuliatorių kartas ir įkrovimo programinę įrangą.
Tuo pačiu metu surinkti duomenys saugomi debesyje taip, kad apsaugotų kliento tapatybę ir judėjimą su transporto priemone.
„Volkswagen grupės prekės ženklai renka, saugo, perduoda ir naudoja asmens duomenis tik pagal teisinius reglamentus ir esamus sutartinius santykius, teisėtus interesus arba aiškų kliento sutikimą“, – sako Cariad.
Automobilių programinės įrangos įmonė taip pat teigia, kad taiko tvirtą duomenų apsaugos praktiką, apimančią duomenų taškų saugojimą atskirai, prieigos teisių apribojimą, pseudonimizavimą ir anonimiškumą, taip pat duomenų kaupimą ir apdorojimą nurodytais tikslais.
