Chaos Computer Club раскрывает уязвимость Cariad: детали утечки данных Volkswagen

31 декабря 2024 г., 16:21

550     0

Chaos Computer Club раскрывает уязвимость Cariad: детали утечки данных Volkswagen

Cariad, подразделение Volkswagen по разработке автомобильного программного обеспечения, допустило утечку данных, затронувшую около 800 000 электромобилей. Из-за неправильной настройки облачного хранилища Amazon данные оставались незащищёнными в течение нескольких месяцев.

В результате злоумышленники могли получить доступ к геолокации автомобилей с точностью до нескольких сантиметров, а также к личной информации водителей.

Информация касалась владельцев машин марок Volkswagen, Audi, Seat и Skoda. Особую обеспокоенность вызвало то, что данные включали подробные координаты местоположения автомобилей, включая долготу и широту при выключении электродвигателя.

Уязвимость была выявлена Chaos Computer Club (CCC) — крупнейшей в Европе организацией этичных хакеров. Сообщается, что они получили информацию от инсайдера, протестировали доступ и передали Cariad технические детали уязвимости. CCC отмечает, что команда безопасности компании отреагировала оперативно, устранив проблему в день получения уведомления.

Как сообщается, около 460 000 автомобилей имели доступные геоданные. Среди них были машины сотрудников полиции Гамбурга, предполагаемых сотрудников спецслужб, а также немецких политиков, включая Надю Вайперт и Маркуса Грюбеля.

Взлом стал возможен из-за памяти, оставшейся в одном из приложений Cariad. В дампе содержались ключи доступа к облаку, где и хранились данные клиентов. Это позволило получить доступ к координатам, а также другим деталям, таким как местоположение избранных зарядных станций.

Cariad подчёркивает, что взлом потребовал обхода нескольких уровней защиты. Псевдонимизация данных затрудняла их связывание с конкретными пользователями, но специалисты Spiegel и CCC смогли объединить разрозненные данные для идентификации некоторых водителей.

Большинство затронутых автомобилей находились в Германии (300 000), но данные также касались машин в Норвегии, Швеции, Великобритании, Нидерландах, Франции, Бельгии и Дании. В компании заверяют, что утечка не затронула управление автомобилями, а доступ к данным получили только специалисты CCC.

Volkswagen подчёркивает, что сбор данных помогает в разработке цифровых функций и улучшении зарядного оборудования, а клиенты имеют возможность отключить сбор данных в любой момент. Однако инцидент ясно показал, что даже инновационные системы защиты не застрахованы от элементарных ошибок в безопасности.