Jak najbardziej możemy mówić o poważnej wpadce, która mogła mieć negatywny wpływ na prywatność i bezpieczeństwo użytkowników elektryków Grupy Volkswagen. Otóż dane lokalizacyjne 800 tys. pojazdów były łatwo dostępne w internecie.
Dane 800 tys. elektryków Grupy Volkswagen nie były zabezpieczone
W świecie samochodów, które bez przerwy podłączone są do internetu, firmy motoryzacyjne muszą zmierzyć się z zupełnie nowymi wyzwaniami. Przede wszystkim trzeba auta, jak i całą infrastrukturę odpowiednio zabezpieczyć przed niepowołanym dostępem. W końcu przestępca, gdyby uzyskał dostęp do określonych informacji, mógłby poznać przykładowo dokładną lokalizację samochodu.
Niestety, właściciele elektryków Grupy Volkswagen byli narażeni na podobne niebezpieczeństwo – ujawnienie lokalizacji pojazdów przestępcom. Otóż jak wynika z udostępnionego raportu, niedopatrzenie w zakresie bezpieczeństwa przez firmę Cariad spowodowało, że dane lokalizacyjne 800 tys. elektryków były dostępne w „otwartym” internecie przez kilka miesięcy. Co gorsza, miały to być dane niezaszyfrowane.
Zanim przejdziemy dalej wypada wyjaśnić, że firma Cariad jest częścią Grupy Volkswagen i zajmuje się tworzeniem oprogramowania. Z kolei do omawianej Grupy zaliczamy samochody marek Volkswagen, Skoda, Seat czy Audi. W przypadku elektryków możemy wymienić długą listę pojazdów opartych o platformę MEB – np. Volkswagen ID.3, Skoda Enyaq czy Cupra Born.
Łącznie udało się znaleźć kilka terabajtów danych w chmurze Amazon, w tym dokładną lokalizację 460 tys. samochodów. To właśnie na podstawie lokalizacji można było wyciągnąć wnioski, kto jest właścicielem konkretnego samochodu. Co więcej, możliwe było śledzenie lokalizacji aut, które należały do chociażby niemieckich polityków z wysoką dokładnością. Można było wiedzieć, gdzie jeżdżą i przykładowo w ten sposób poznać ich plan dnia. Do tego doszły też dane elektryków należących do biznesmenów, policji czy kierowców pracujących w bazie lotniczej Ramstein Air Base.
Mamy też dobre informacje
Trzeba przyznać, że możliwość zdobycia takich danych w formie niezaszyfrowanej to bardzo łakomy kąsek. Jednak – jak zdradził Cariad dla niemieckiego dziennika Spiegel – nie ma obecnie informacji wskazujących, aby ktoś spoza grupy hakerów Chaos Computer Club miał dostęp do omawianych danych.
Wspomniana grupa hakerów odkryła podatność i przekazała dane do firmy Cariad, która szybko załatała lukę. Całość miała wynikać z „błędów konfiguracji”. Dowiedzieliśmy się też, że dane, które w łatwy sposób pozwalałyby wygenerować profil właściciela, nie były tutaj połączone z lokalizacją pojazdów.