Προσωπικά δεδομένα 800.000 ιδιοκτητών ηλεκτρικών αυτοκινήτων στο διαδίκτυο

Η εταιρεία λογισμικού αυτοκινήτων της Volkswagen, Cariad, εξέθεσε δεδομένα που συλλέχθηκαν από περίπου 800.000 ηλεκτρικά αυτοκίνητα. Οι πληροφορίες θα μπορούσαν να συνδεθούν με τα ονόματα των οδηγών και να αποκαλύψουν ακριβείς τοποθεσίες των οχημάτων.

Terabytes στοιχείων πελατών της Volkswagen στον χώρο αποθήκευσης cloud της Amazon παρέμειναν απροστάτευτα για μήνες, επιτρέποντας σε οποιονδήποτε με λίγες τεχνικές γνώσεις να παρακολουθεί την κίνηση των οδηγών ή να συλλέγει προσωπικές πληροφορίες.

Οι εκτεθειμένες βάσεις δεδομένων περιλαμβάνουν λεπτομέρειες για οχήματα VW, Seat, Audi και Skoda, με τα δεδομένα γεωγραφικής θέσης για ορισμένα από αυτά να είναι τόσο ακριβή όσο λίγα εκατοστά.

Ακριβή δεδομένα γεωγραφικής θέσης

Η πρόσβαση στα δεδομένα του αυτοκινήτου ήταν δυνατή λόγω της λανθασμένης διαμόρφωσης της Cariad σε δύο εφαρμογές πληροφορικής, δήλωσε εκπρόσωπος της εταιρείας στο BleepingComputer.

Η Cariad ενημερώθηκε στις 26 Νοεμβρίου για το θέμα από την Chaos Computer Club (CCC), ο μεγαλύτερος οργανισμός ηθικών χάκερ στην Ευρώπη που για περισσότερα από 30 χρόνια προωθεί την ασφάλεια, το απόρρητο και την ελεύθερη πρόσβαση σε πληροφορίες.

Σύμφωνα με γερμανικό δημοσίευμα Spiegelτο CCC ανακάλυψε για την ευπάθεια από έναν πληροφοριοδότη και δοκίμασε την ανασφαλή πρόσβαση προτού ενημερώσει την Cariad και τη Volkswagen και παράσχει τεχνικές λεπτομέρειες.

Σε μια δήλωση στο BleepingComputer, ένας εκπρόσωπος της Cariad είπε ότι τα εκτεθειμένα δεδομένα επηρέασαν μόνο οχήματα συνδεδεμένα στο Διαδίκτυο και είχαν εγγραφεί για διαδικτυακές υπηρεσίες.

Από τα σχεδόν 800.000 οχήματα που εκτέθηκαν, οι ερευνητές βρήκαν δεδομένα γεωγραφικής θέσης για 460.000 αυτοκίνητα, για μερικά από αυτά με ακρίβεια δέκα εκατοστών.

Λίγο πάνω από 30 οχήματα ήταν μέρος του στόλου περιπολικών της αστυνομίας του Αμβούργου, ενώ άλλα ανήκαν σε ύποπτους υπαλλήλους της υπηρεσίας πληροφοριών, αναφέρει το Spiegel.

Η εταιρεία είπε ότι οι χάκερ CCC μπορούσαν να έχουν πρόσβαση στα δεδομένα μόνο αφού παρακάμψουν αρκετούς μηχανισμούς ασφαλείας που απαιτούσαν σημαντικό χρόνο και τεχνική εμπειρογνωμοσύνη.

Επιπλέον, επειδή τα δεδομένα μεμονωμένων οχημάτων είχαν ψευδώνυμα για λόγους απορρήτου, οι χάκερ έπρεπε να συνδυάσουν διαφορετικά σύνολα δεδομένων για να συσχετίσουν τις λεπτομέρειες με έναν συγκεκριμένο χρήστη.

Ωστόσο, το Spiegel συγκέντρωσε μια ομάδα ειδικών πληροφορικής και δημοσιογράφων που βρήκαν στοιχεία τοποθεσίας που συλλέχθηκαν από τα αυτοκίνητα δύο Γερμανών πολιτικών, της Nadja Weippert και του μέλους της Bundestag Markus Grübel, χρησιμοποιώντας ελεύθερα διαθέσιμο λογισμικό.

Τα εργαλεία αναζήτησαν εκτεθειμένα στοιχεία Cariad που περιείχαν αρχεία με ευαίσθητες πληροφορίες, γεγονός που οδήγησε στην εύρεση ενός αντιγράφου μιας ένδειξης αποθήκευσης μνήμης από μια εσωτερική εφαρμογή Cariad.

Μέσα στη χωματερή μνήμης, οι χάκερ ανακάλυψαν κλειδιά πρόσβασης σε μια παρουσία αποθήκευσης cloud στο Amazon όπου η Cariad αποθήκευε δεδομένα που συλλέχθηκαν από οχήματα πελατών του Ομίλου Volkswagen.

Το Spiegel αναφέρει ότι ορισμένα σημεία δεδομένων αναφέρονταν στη θέση γεωγραφικού μήκους και γεωγραφικού πλάτους των αυτοκινήτων όταν ο ηλεκτροκινητήρας ήταν απενεργοποιημένος.

Τα περισσότερα από τα οχήματα που επλήγησαν, 300.000 από αυτά, ήταν στη Γερμανία, αλλά οι ερευνητές βρήκαν επίσης λεπτομέρειες για αυτοκίνητα στη Νορβηγία (80.000), τη Σουηδία (68.000), το Ηνωμένο Βασίλειο (63.000), την Ολλανδία (61.000), τη Γαλλία (53.000), Βέλγιο (68.000), και Δανία (35.000).

Γρήγορη επιδιόρθωση μετά από υπεύθυνη αποκάλυψη

Η Cariad είπε στο BleepingComputer ότι η ομάδα ασφαλείας της αντέδρασε γρήγορα για να διορθώσει το πρόβλημα και έκλεισε την πρόσβαση την ίδια ημέρα που το CCC τους έστειλε την αναφορά.

Οι εκπρόσωποι της CCC επιβεβαίωσαν για το Spiegel ότι η «τεχνική ομάδα της Cariad ανταποκρίθηκε γρήγορα, διεξοδικά και υπεύθυνα» και ότι η εταιρεία αντέδρασε μέσα σε λίγες ώρες από τη λήψη των τεχνικών λεπτομερειών.

Με βάση τα αποτελέσματα της έρευνάς της, η Cariad δεν έχει στοιχεία που να υποδηλώνουν ότι άλλα μέρη, εκτός από τους χάκερ της CCC, είχαν πρόσβαση στα εκτεθειμένα δεδομένα του οχήματος ή ότι οι πληροφορίες είχαν γίνει κατάχρηση από τρίτο μέρος.

Η εταιρεία τονίζει επίσης ότι το CCC είχε πρόσβαση μόνο στα δεδομένα που συλλέγονταν από τα οχήματα και δεν μπορούσε να έχει πρόσβαση στα ίδια τα αυτοκίνητα.

Η Cariad λέει ότι οι πελάτες των εμπορικών σημάτων του Ομίλου Volkswagen μπορούν να συμφωνήσουν να χρησιμοποιούν προϊόντα και υπηρεσίες που απαιτούν την επεξεργασία προσωπικών δεδομένων και μπορούν να απενεργοποιήσουν την επιλογή ανά πάσα στιγμή.

Ωστόσο, η εταιρεία σημειώνει ότι τα δεδομένα που συλλέγονται από τα οχήματα τη βοηθούν να «παρέχει, να αναπτύσσει και να βελτιώνει ψηφιακές λειτουργίες» για τους πελάτες της καθώς και να δημιουργεί πρόσθετα οφέλη.

Για παράδειγμα, η εταιρεία εξηγεί ότι η συμπεριφορά και οι συνήθειες φόρτισης των πελατών είναι ανώνυμα και συμβάλλουν στη βελτιστοποίηση των μελλοντικών γενεών μπαταριών και του λογισμικού φόρτισης.

Ταυτόχρονα, τα δεδομένα που συλλέγονται αποθηκεύονται στο cloud με τρόπο που προστατεύει την ταυτότητα του πελάτη και την κίνησή του με το όχημα.

«Οι μάρκες του Ομίλου Volkswagen συλλέγουν, αποθηκεύουν, διαβιβάζουν και χρησιμοποιούν προσωπικά δεδομένα αποκλειστικά στο πλαίσιο νομικών κανονισμών και υφιστάμενης συμβατικής σχέσης, έννομων συμφερόντων ή ρητής συναίνεσης από τον πελάτη», λέει η Cariad.

Η εταιρεία λογισμικού αυτοκινήτων λέει επίσης ότι χρησιμοποιεί ισχυρές πρακτικές προστασίας δεδομένων που περιλαμβάνουν χωριστή αποθήκευση σημείων δεδομένων, περιοριστικά δικαιώματα πρόσβασης, ψευδωνυμοποίηση και ανωνυμοποίηση, καθώς και συγκέντρωση και επεξεργασία δεδομένων για καθορισμένους σκοπούς.