Σύμφωνα με δημοσίευμα των μέσων ενημέρωσης, υπήρξε σημαντική διαρροή δεδομένων στη θυγατρική λογισμικού της Volkswagen, την Cariad. Οι πληροφορίες για την τοποθεσία περίπου 800.000 ηλεκτρικών αυτοκινήτων από διάφορες μάρκες της Volkswagen και οι πληροφορίες για τους ιδιοκτήτες τους, ήταν σε μεγάλο βαθμό απροστάτευτες και προσβάσιμες στο διαδίκτυο για μήνες.
Αυτό ανέφερε το Der Spiegel μετά από κοινή έρευνα με το Chaos Computer Club (CCC), μια ευρωπαϊκή ομάδα χάκερ. Σύμφωνα με την έκθεση, αρκετά terabyte δεδομένων ήταν «σε μεγάλο βαθμό απροστάτευτα» και αποθηκεύτηκαν σε μια εγκατάσταση αποθήκευσης cloud που ανήκει στη θυγατρική AWS της Amazon. Τα ακριβή δεδομένα τοποθεσίας, θα μπορούσαν να προβληθούν ακόμη και για 460.000 οχήματα, ενώ πολλά άλλα δεδομένα οχημάτων, θα μπορούσαν να συνδεθούν με ονόματα και στοιχεία επικοινωνίας, για παράδειγμα, τον οδηγό, τον ιδιοκτήτη ή τον διαχειριστή του στόλου.
Μετά από μια πληροφορία από έναν πληροφοριοδότη, μια ομάδα του Spiegel, κατάφερε να εντοπίσει αυτή την ευπάθεια. Μέσα από μερικές παρακάμψεις και «συστηματικές εικασίες», η ομάδα απέκτησε πρόσβαση σε ένα αντίγραφο του πιο πρόσφατου αρχείου καταγραφής μνήμης μιας εσωτερικής εφαρμογής Cariad. Εκεί, οι δημοσιογράφοι και οι ειδικοί πληροφορικής, βρήκαν τα δεδομένα πρόσβασης στον προαναφερθέντα χώρο αποθήκευσης cloud. Τα δεδομένα των μεμονωμένων οχημάτων αποθηκεύτηκαν εκεί, συμπεριλαμβανομένου του μεταδιδόμενου επιπέδου φόρτισης της μπαταρίας, της κατάστασης λειτουργίας και εάν η μονάδα είναι ενεργοποιημένη ή απενεργοποιημένη. Όταν ήταν απενεργοποιημένο, μεταδόθηκε η θέση του αυτοκινήτου και η ώρα. Με 300.000 οχήματα, η Γερμανία είναι η χώρα που πλήττεται περισσότερο, ακολουθούμενη από τη Νορβηγία (80.000 οχήματα), τη Σουηδία (68.000) και το Ηνωμένο Βασίλειο (63.000) και άλλες ευρωπαϊκές χώρες, με αρκετά υψηλή παρουσία ηλεκτρικών αυτοκινήτων.
Καθώς τα δεδομένα πρόσβασης για την υπηρεσία της Volkswagen αποθηκεύονταν και αλλού, οι πληροφορίες από τα δεδομένα του οχήματος, μπορούσαν να συνδεθούν με εγγεγραμμένους χρήστες. Έδωσε τη δυνατότητα στο Der Spiegel, να αναλύσει με ακρίβεια τα προφίλ κίνησης δύο περιφερειακών πολιτικών (με την άδειά τους) και να εκχωρήσει δεδομένα οχημάτων σε άλλους πολιτικούς, ηγέτες επιχειρήσεων ή την αστυνομία του Αμβούργου με τα 35 περίπου ηλεκτρικά περιπολικά της, για να αναφέρουμε μόνο μερικά παραδείγματα. Στην περίπτωση των VW ID.3 και ID:4, τα δεδομένα ήταν προφανώς ιδιαίτερα λεπτομερή. Σε ορισμένες περιπτώσεις, η τοποθεσία αποθηκεύτηκε με ακρίβεια δέκα εκατοστών. Αντίθετα, τα μοντέλα MEB από την Audi και τη Seat που επηρεάστηκαν, δηλαδή το Q4 e-tron και το Cupra Born, είχαν ακρίβεια μόλις δέκα χιλιομέτρων.
Το CCC είχε στείλει εκ των προτέρων αντίστοιχη ειδοποίηση και τεχνικές λεπτομέρειες στην Cariad, δίνοντας στην εταιρεία 30 ημέρες για να προστατεύσει τα δεδομένα πριν από τη δημοσίευση. Η Cariad απάντησε “μέσα σε λίγες ώρες”, το κενό έχει κλείσει και τα δεδομένα δεν είναι πλέον προσβάσιμα. Ωστόσο, αντί για μια ευπάθεια ασφαλείας, η εταιρεία προτιμά να μιλάει για «λανθασμένη διαμόρφωση». Εκτός από το CCC, κανείς δεν είχε πρόσβαση στα συστήματα και «δεν υπήρχαν ενδείξεις κακής χρήσης δεδομένων από τρίτους».
Ακολουθήστε το Carselectric.gr στο Facebook
Ακολουθήστε το Carselectric.gr στο Google news
