Подразделение Cariad компании Volkswagen допустило утечку данных, затронувшую 800 тысяч электромобилей

Подразделение Cariad компании Volkswagen допустило утечку данных, затронувшую 800 тысяч электромобилей

Cariad, подразделение Volkswagen по разработке автомобильного программного обеспечения, допустило утечку данных, которая затронула около 800 000 электромобилей.

Из-за неправильной настройки облачного хранилища Amazon данные оставались незащищенными в течение нескольких месяцев. В результате злоумышленники могли получить доступ к геолокации автомобилей с точностью до нескольких сантиметров, а также к личной информации водителей.

Информация касалась владельцев автомобилей марок Volkswagen, Audi, Seat и Skoda. Особую обеспокоенность вызвало то, что данные включали подробные координаты местоположения автомобилей, включая долготу и широту при выключении электродвигателя.

Уязвимость была обнаружена Chaos Computer Club (CCC) — крупнейшей в Европе организацией этичных хакеров. Сообщается, что они получили информацию от инсайдера, протестировали доступ и передали Cariad технические детали уязвимости. CCC отмечает, что команда безопасности компании отреагировала оперативно, устранив проблему в день получения уведомления.

Как сообщается, около 460 000 автомобилей имели доступные геоданные. Среди них были машины сотрудников полиции Гамбурга, предполагаемых сотрудников спецслужб, а также немецких политиков, включая Надю Вайперт и Маркуса Грюбеля.

Взлом стал возможен из-за памяти, оставшейся в одном из приложений Cariad. В дампе содержались ключи доступа к облаку, где и хранились данные клиентов. Это позволило получить доступ к координатам, а также другим деталям, таким как местоположение избранных зарядных станций.

Cariad подчёркивает, что взлом потребовал обхода нескольких уровней защиты. Псевдонимизация данных затрудняла их связывание с конкретными пользователями, но специалисты Spiegel и CCC смогли объединить разрозненные данные для идентификации некоторых водителей.

Большинство затронутых автомобилей находились в Германии (300 000), но данные также касались машин в Норвегии, Швеции, Великобритании, Нидерландах, Франции, Бельгии и Дании. В компании заверяют, что утечка не затронула управление автомобилями, а доступ к данным получили только специалисты CCC.

Volkswagen подчёркивает, что сбор данных помогает в разработке цифровых функций и улучшении зарядного оборудования, а клиенты имеют возможность отключить сбор данных в любой момент. Однако инцидент ясно показал, что даже инновационные системы защиты не застрахованы от элементарных ошибок в безопасности.

securitylab.ru