Co robi kierowca w ciągu dnia? Producent auta to wie

Problem związany z informacjami, które są gromadzone o użytkownikach, od kilkunastu lat dotyczy już nie tylko wyszukiwarek czy Facebooka, ale także wydawałoby się, że „zwykłych” rzeczy.

Jak opisywaliśmy na łamach CyberDefence24, szerokim echem odbiło się zbieranie danych m.in. przez producentów chińskich testów prenatalnych, telekomy we Francji czy nawet aplikacje do „selfie z Barbie”.

Mają dane o samochodach, nie zabezpieczyli ich prawidłowo

Nie dziwi zatem, że informacje o wykorzystywaniu samochodów zbierają również producenci z Grupy Volkswagen. Problem polega nie tylko na tym, że pozwalają one ustalić, co może robić właściciel auta – sposób ich przechowywania również pozostawia wiele do życzenia.

Informację w tej sprawie otrzymała niemiecka organizacja zrzeszająca ekspertów cyberbezpieczeństwa, Chaos Computer Club (są organizatorami konferencji w Hamburgu, na której występowali członkowie Dragon Sector). Jak wynika z informacji samego CCC, jak również i gazety Spiegel, informatycy zlokalizowali dane obsługiwane przez podmiot z Grupy VW, Cariad, w chmurze Amazon. Były nieodpowiednio zabezpieczone i prawdopodobnie dostępne w ten sposób co najmniej od 2024 roku.

Ustalanie planu dnia na podstawie pozycji auta

Co znajdowało się wśród zgromadzonych danych? Informacje o ok. 800 tys. samochodów elektrycznych, z czego ponad połowa przypadków obejmowała także historię geolokalizacji. Istotne jest również to, że VW, Audi, Skoda i Seat nie zbierały danych o pojazdach wyłącznie w Niemczech, gdzie znajdowało się 300 tys. aut będących źródłami danych – oprócz posła CDU do Bundestagu Markusa Grübla czy burmistrz Tostedt Nadji Weippert, w chmurze pojawiły się także informacje o samochodach powiązanych z CIA, bazą USA w Ramstein, czy nawet tych znajdujących się na Ukrainie czy w Izraelu.

Jak wskazał Chaos Computer Club w swoim komunikacie, informacje dotyczące samochodów były połączone z innymi danymi o użytkownikach, co z kolei otwierało drogę do dość interesujących ustaleń na temat ich codziennego życia. Na jaw wychodziło dosłownie wszystko – kiedy wychodzą z domu, ile czasu spędzają w pracy, ile na zakupach, a także kto może być potencjalnym celem zagranicznych agencji wywiadowczych. Z wypowiedzi rzecznika CCC Linusa Neumanna zawartej w stanowisku organizacji wynika jednak, że słaba ochrona nie była głównym problemem. „(Polega on na tym – red.), że dane te były gromadzone i przechowywane przez tak długi czas” – wyjaśnił.

Eliminacja podatności

CCC poinformował Cariad o znalezionej podatności razem ze szczegółami, zawiadamiając o sprawie także szefostwo Grupy VW, niemieckie Ministerstwo Spraw Wewnętrznych czy Urząd Ochrony Danych w Dolnej Saksonii. Ostrzeżono również, że brak reakcji przedsiębiorstwa w ciągu 30 dni spowoduje opublikowanie informacji o sprawie (bez wrażliwych szczegółów).

Na szczęście firma potraktowała sprawę bardzo poważnie, dziękując informatykom za reakcję i prosząc o dodatkowe szczegóły. Podatność udało się wyeliminować. Spiegel zauważa jednak, że do uzyskania dostępu wystarczyły typowe programy używane przez ekspertów cyberbezpieczeństwa, a także zwyczajne zgadywanie niektórych stron i podstron Cariad. Pozwoliło to m.in. na znalezienie pliku zawierającego dane dostępu do chmury Amazon, na której przechowywano dane.

Przedsiębiorstwo z Grupy VW tłumaczy w stanowisku przekazanym gazecie Spiegel, że zbierane informacje o „nawykach klientów dotyczących ładowania pojazdów” były pseudonimizowane. Ich przeznaczeniem było z kolei udoskonalanie baterii, jednak zdaniem Cariad nie było możliwe powiązanie danych w taki sposób, aby wyciągać wnioski o użytkownikach.

Firma twierdzi również, że eksperci z CCC mieli ominąć zabezpieczenia, co z kolei miało być możliwe dzięki wysokiemu poziomowi wiedzy specjalistycznej i połączeniu różnych zestawów danych. Przyczyną wszystkiego miała być „błędna konfiguracja”, jednak zdaniem przedstawicieli przedsiębiorstwa, kierowcy mogą być spokojni.

„Żadne wrażliwe dane nie zostały naruszone w wyniku incydentu” – przekazał Cariad, zaznaczając, że w każdym momencie „funkcje sieciowe” zawarte w samochodach producentów z Grupy Volkswagena mogą zostać „wyłączone”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].