Компания Cariad, занимающаяся разработкой автомобильного ПО для Volkswagen, допустила утечку данных, собранных примерно с 800 000 электромобилей. Эти сведения могут быть соотнесены с именами водителей и содержать точные координаты автомобилей.
В результате неправильной конфигурации систем в Amazon-облаке терабайты данных о клиентах Volkswagen в течение нескольких месяцев находились в открытом доступе, что позволяло любому человеку с минимальными техническими навыками следить за перемещениями водителей или получать их личную информацию. В утёкших базах данных содержатся сведения об автомобилях VW, Seat, Audi и Skoda, причём некоторые данные о местоположении были точностью до нескольких сантиметров.
О проблеме в Cariad узнали 26 ноября от представителей Chaos Computer Club (CCC) — крупнейшей в Европе организации этичных хакеров, уже более 30 лет выступающей за безопасность, конфиденциальность и свободный доступ к информации.
По данным немецкой газеты Spiegel, CCC узнал об уязвимости от информатора, протестировал незащищённый доступ, а затем сообщил обо всём компании Cariad и Volkswagen, предоставив технические детали.
По словам представителя Cariad, уязвимость затронула только интернет-подключённые автомобили, которые были зарегистрированы для использования онлайн-сервисов. Из почти 800 000 скомпрометированных машин в базе около 460 000 имели геоданные, а для некоторых автомобилей точность координат достигала 10 сантиметров.
Spiegel сообщает, что более 30 из этих транспортных средств относятся к автопарку полиции Гамбурга. Некоторые машины, как утверждается, принадлежали подозреваемым сотрудникам спецслужб.
Компания отметила, что специалисты CCC получили доступ к данным, лишь «обойдя несколько механизмов безопасности», на что потребовались значительные время и технические навыки. Кроме того, для однозначного сопоставления данных с конкретным пользователем требовалось «объединить разные наборы данных», поскольку информация была псевдонимизирована.
Тем не менее журналистам и экспертам по кибербезопасности из Spiegel удалось обнаружить сведения о местоположении автомобилей двух немецких политиков, Наджи Вайпперт и депутата Бундестага Маркуса Грюбеля, используя свободно доступное ПО.
По информации Spiegel, некоторые записи указывали на долготу и широту автомобиля в момент, когда в электромобиле отключался двигатель.
С точки зрения компании, сбор данных от автомобилей позволяет «предоставлять, развивать и улучшать цифровые функции» для клиентов, а также создавать дополнительные преимущества.
При этом Cariad утверждает, что сохраняет данные в облаке таким образом, чтобы защитить личность клиента и его перемещения.
В результате неправильной конфигурации систем в Amazon-облаке терабайты данных о клиентах Volkswagen в течение нескольких месяцев находились в открытом доступе, что позволяло любому человеку с минимальными техническими навыками следить за перемещениями водителей или получать их личную информацию. В утёкших базах данных содержатся сведения об автомобилях VW, Seat, Audi и Skoda, причём некоторые данные о местоположении были точностью до нескольких сантиметров.
Точная геолокация автомобилей
Как заявили представители Cariad в беседе с BleepingComputer, доступ к данным об автомобилях стал возможен из-за неправильной конфигурации двух ИТ-приложений.О проблеме в Cariad узнали 26 ноября от представителей Chaos Computer Club (CCC) — крупнейшей в Европе организации этичных хакеров, уже более 30 лет выступающей за безопасность, конфиденциальность и свободный доступ к информации.
По данным немецкой газеты Spiegel, CCC узнал об уязвимости от информатора, протестировал незащищённый доступ, а затем сообщил обо всём компании Cariad и Volkswagen, предоставив технические детали.
По словам представителя Cariad, уязвимость затронула только интернет-подключённые автомобили, которые были зарегистрированы для использования онлайн-сервисов. Из почти 800 000 скомпрометированных машин в базе около 460 000 имели геоданные, а для некоторых автомобилей точность координат достигала 10 сантиметров.
Spiegel сообщает, что более 30 из этих транспортных средств относятся к автопарку полиции Гамбурга. Некоторые машины, как утверждается, принадлежали подозреваемым сотрудникам спецслужб.
Компания отметила, что специалисты CCC получили доступ к данным, лишь «обойдя несколько механизмов безопасности», на что потребовались значительные время и технические навыки. Кроме того, для однозначного сопоставления данных с конкретным пользователем требовалось «объединить разные наборы данных», поскольку информация была псевдонимизирована.
Тем не менее журналистам и экспертам по кибербезопасности из Spiegel удалось обнаружить сведения о местоположении автомобилей двух немецких политиков, Наджи Вайпперт и депутата Бундестага Маркуса Грюбеля, используя свободно доступное ПО.
Как произошла утечка
Команда искала публично доступные активы Cariad, содержащие файлы с конфиденциальными данными, и обнаружила дамп памяти одного из внутренних приложений компании. Внутри этого дампа находились ключи доступа к хранилищу Amazon, где Cariad сохранял данные о транспортных средствах клиентов концерна Volkswagen.По информации Spiegel, некоторые записи указывали на долготу и широту автомобиля в момент, когда в электромобиле отключался двигатель.
Среди затронутых стран — Германия (300 000 автомобилей), Норвегия (80 000), Швеция (68 000), Великобритания (63 000), Нидерланды (61 000), Франция (53 000), Бельгия (68 000) и Дания (35 000).
Быстрая реакция на ответственное раскрытие
Cariad сообщил BleepingComputer, что команда безопасности оперативно отреагировала на предупреждение и закрыла доступ в тот же день, когда CCC прислал им отчёт. Представители CCC подтвердили Spiegel, что «техническая команда Cariad сработала быстро, тщательно и ответственно» — все действия компания предприняла в течение нескольких часов после получения технических деталей. По результатам внутреннего расследования, у Cariad нет доказательств, что кто-то, кроме специалистов CCC, имел доступ к скомпрометированным данным транспортных средств или что эти сведения были кем-то использованы в преступных целях. Компания также подчёркивает, что доступ специалистов CCC ограничивался только собранными данными и не позволял управлять самими автомобилями.О сборе данных и защите
Cariad подчёркивает, что клиенты брендов концерна Volkswagen могут выбирать, какие сервисы, обрабатывающие персональные данные, они хотят использовать, и при желании отключать эту опцию в любой момент.С точки зрения компании, сбор данных от автомобилей позволяет «предоставлять, развивать и улучшать цифровые функции» для клиентов, а также создавать дополнительные преимущества.
В качестве примера компания указывает, что анонимизированные сведения о зарядке и пользовательских привычках помогают оптимизировать будущие поколения батарей и программное обеспечение для зарядки.
При этом Cariad утверждает, что сохраняет данные в облаке таким образом, чтобы защитить личность клиента и его перемещения.
Компания также отмечает, что у неё действуют надёжные практики защиты данных: хранение различных типов данных отдельно, ограниченные права доступа, псевдонимизация и анонимизация, а также агрегация и обработка данных строго по заявленным целям.
