Incident v Volkswagnu: ogroženi podatki 800.000 električnih avtov in voznikov
Na vrzel v programski opremi Volkswagnove hčerinske družbe Cariad je opozorilo evropsko hekersko združenje Chaos Computer Club.
Na spletu so bili več mesecev na voljo podatki o lokaciji približno 800 tisoč električnih vozil Volkswagen, Seat, Audi in Škoda po Evropi in drugih delih sveta, je razkril Der Spiegel. Šlo je za več terabajtov podatkov, ki so bili nezaščiteni v oblaku Amazon, med katerimi so bili v nekaterih primerih tudi imena, naslovi, telefonske številke in e-poštni naslovi voznikov.
Do uhajanja podatkov je prišlo zaradi vrzeli v programski opremi Volkswagnove hčerinske družbe Cariad, ki je nameščena v vozilih nemškega koncerna. Ta je zlonamernežu omogočala, da je na spletu našel in dostopal do podatkov o voznikih, natančnih podatkov o lokaciji in o tem, kdaj so bila električna vozila vklopljena in izklopljena.
Po navedbah Spiegla je bilo mogoče za Volkswagnova in Seatova vozila do deset centimetrov natančno izslediti njihovo lokacijo, za modele Audi in Škoda pa do deset kilometrov natančno. Večina podatkov je letošnjih, nekateri so še starejši.
Težava že odpravljena
Za ranljivost podatkov o električnih vozilih nemškega proizvajalca je izvedelo evropsko hekersko združenje Chaos Computer Club (CCC), ki že vrsto let deluje kot poročevalec o vrzelih v sistemih informacijskih tehnologij odgovornim. Nato je kontaktiralo tako vodstvo Volkswagna kot podjetja Cariad.
Cariad se je na težavo kmalu odzval, napaka pa je odpravljena, poroča Der Spiegel. Analiza incidenta sicer še ni dokončna, a v podjetju pravijo, da je bil razlog napačna konfiguracija opreme.
Beleženje podatkov je mogoče izključiti
Do podatkov so po poročanju nemškega medija dostopali le strokovnjaki združenja CCC, ki jim je uspelo zaobiti več varnostnih sistemov. Da bi podatke zlorabile tretje osebe, niso zaznali. Kot so iz podjetja nato dejali za Spiegel, strankam “ni treba ukrepati, saj to ne vpliva na občutljive podatke, kot so gesla ali plačilni podatki”.
Na vprašanje, zakaj Cariad sploh zbira tovrstne podatke, pa v podjetju odgovarjajo, da so ti uporabljeni za izboljšanje baterij in povezane programske opreme. Dodajajo, da se podatki nikoli ne združujejo tako, da bi bilo mogoče sklepati o posameznih ljudeh ali oblikovati gibalne profile. Vsa vozila s spletnimi funkcijami po njihovih besedah ponujajo možnost, da beleženje kadarkoli izključite.
Podobni incidenti tudi pri drugih proizvajalcih
Volkswagen še zdaleč ni edini avtomobilski proizvajalec, ki ima zaradi poplave podatkov precejšnje varnostne težave. V preteklosti so jih imeli tudi BMW, Mercedez-Benz, Kia in Jeep. Slednja sta imela največje težave, saj je bilo njune avtomobile zaradi varnostne vrzeli mogoče kar na daljavo odklepati in zagnati ali celo upravljati zavore in hitrost vozila.
Neprofitna fundacija Mozilla je lani proučila prakse zbiranja podatkov 25 avtomobilskih znamk, od katerih so vse zbirale več podatkov, kot je bilo treba. Približno dve tretjini analiziranih znamk je imelo v zadnjih treh letih težave z vdori, uhajanjem podatkov ali drugimi varnostnimi incidenti. Fundacija je ob tem zaključila, da so sodobni avtomobili “nočna mora za zasebnost”, še poroča Spiegel.