800 000 elektromos autó és tulajdonos adatai szivárogtak ki online

kami911 képe
Beküldte kami911 -

A Volkswagen autós szoftvercége, a Cariad, komoly adatvédelmi botrányba keveredett, miután kiderült, hogy mintegy 800 000 elektromos autóról gyűjtött adatot hagytak védelem nélkül az Amazon felhőalapú tárolójában. Az érintett adatok között olyan érzékeny információk is szerepeltek, mint a gépjármű-tulajdonosok nevei és a járművek pontos földrajzi helyzete.

Adatszivárgás a VW, Seat, Audi és Skoda autókról

A Volkswagen-csoport különböző márkáihoz tartozó járműveket érintő adatbázisokban a földrajzi helyadatok pontossága néhány centiméterig terjedt bizonyos modelleknél. Az adatokhoz való hozzáférés oka egy helytelenül konfigurált IT-alkalmazás volt a Cariad rendszerében, amely hónapokon át lehetővé tette, hogy bárki technikai ismeretek nélkül is hozzáférjen az információkhoz. A kutatók a közel 800 ezer kitett járműből 460 ezer autó földrajzi helymeghatározási adatait találták meg, némelyik esetében tíz centiméteres pontossággal. Valamivel több mint 30 jármű a hamburgi rendőrség járőrkocsiparkjához tartozott, míg mások a hírszerzés feltételezett munkatársaihoz - írja a Spiegel.

A szivárgás leginkább Németországot érintette, ahol 300 000 autó adatai kerültek veszélybe, de más európai országokban, például Norvégiában (80 000), Svédországban (68 000), az Egyesült Királyságban (63 000) és Franciaországban (53 000) is jelentős számú jármű volt érintett.

A biztonsági rés feltárása

A vállalat szerint a CCC hackerei csak több biztonsági mechanizmus megkerülése után tudtak hozzáférni az adatokhoz, ami jelentős időt és technikai szakértelmet igényelt. Ráadásul mivel az egyes járművek adatait adatvédelmi okokból álnevekkel látták el, a hackereknek különböző adathalmazokat kellett kombinálniuk ahhoz, hogy az adatokat egy adott felhasználóhoz rendelhessék. A sebezhetőséget először a Chaos Computer Club (CCC), Európa legnagyobb etikus hacker szervezete észlelte. Egy whistleblower információi alapján a CCC tesztelte a rendszert, majd értesítette a Cariadot és a Volkswagen illetékeseit a problémáról november 26-án. A Spiegel német lap szerint a CCC és újságírók egy csoportja nyílt forráskódú eszközökkel talált rá az érzékeny adatokra, beleértve két német politikus, Nadja Weippert és Markus Grübel autóinak helyadatait is.

Az eszközök olyan feltárt Cariad-eszközök után kutattak, amelyek érzékeny információkat tartalmazó fájlokat tartalmaztak, és így találták meg egy belső Cariad-alkalmazás memóriadumpjának másolatát. A memóriadumpban a hackerek megtalálták az Amazon felhőalapú tárolójához való hozzáférési kulcsokat, ahol a Cariad a Volkswagen-csoport ügyfeleinek járműveiről gyűjtött adatokat tárolta. A Spiegel beszámolója szerint egyes adatpontok az autók hosszúsági és szélességi helyére utaltak, amikor az elektromos motor le volt kapcsolva.

Gyors válasz és korrekció

A Cariad biztonsági csapata gyorsan reagált, és még aznap lezárta a hozzáférést, amikor a CCC jelentette a hibát. A CCC megerősítette, hogy a Cariad technikai csapata „gyorsan, alaposan és felelősségteljesen” kezelte az ügyet. A vállalat vizsgálatai alapján nincs bizonyíték arra, hogy harmadik fél hozzáfért volna az adatokhoz vagy visszaélt volna azokkal. A Cariad hangsúlyozta, hogy a CCC csak a járművekből gyűjtött adatokhoz fért hozzá, magukhoz az autókhoz nem.

Adatvédelem és a jövő technológiája

A Cariad szerint a gyűjtött adatok kulcsfontosságúak a digitális funkciók fejlesztésében, például az akkumulátorok hatékonyságának javításában és az új töltési szoftverek optimalizálásában. Az autós szoftvercég továbbá hangsúlyozta, hogy az adatok kezelését szigorú adatvédelmi előírások szabályozzák, beleértve a pseudonimizációt, anonim tárolást, és az adatok célhoz kötött feldolgozását. Úgy fogalmaztak: „A Volkswagen-csoporthoz tartozó márkák kizárólag a jogi szabályozás és a meglévő szerződéses kapcsolat, a jogos érdekek vagy az ügyfél kifejezett hozzájárulása alapján gyűjtenek, tárolnak, továbbítanak és használnak személyes adatokat.”.

Ez az eset ismét rámutatott arra, milyen fontos az adatbiztonság a modern, internethez csatlakozó járművek világában. Bár a Cariad gyorsan helyrehozta a problémát, az ilyen hibák komoly kérdéseket vetnek fel az autógyártók és technológiai cégek adatkezelési gyakorlataival kapcsolatban. A felhasználók számára elengedhetetlen, hogy tisztában legyenek azzal, milyen adatok kerülnek róluk gyűjtésre, és milyen célokra használják azokat.