80 万辆电动汽车及车主的客户数据被曝光
大众汽车软件公司 Cariad 披露了从约 80 万辆电动汽车收集的数据。这些信息可能与驾驶员姓名有关,并揭示车辆的精确位置。
亚马逊云存储中的数 TB 级大众客户详细信息数月来一直处于未受保护的状态,任何具有少量技术知识的人都可以跟踪驾驶员的动向或收集个人信息。
暴露的数据库包括大众、西雅特、奥迪和斯柯达汽车的详细信息,其中一些汽车的地理位置数据精确到几厘米。
精确地理位置数据
该公司代表告诉 BleepingComputer,由于 Cariad 在两个 IT 应用程序中的配置不正确,因此汽车数据得以访问。
11 月 26 日,混沌计算机俱乐部(CCC)向 Cariad 通报了这一问题,该俱乐部是欧洲最大的黑客协会,30 多年来一直致力于推动安全、隐私和信息的自由获取。
据德国出版物《明镜周刊》报道,CCC 从一名举报人那里发现了这个漏洞,并在向 Cariad 和大众公司通报责任并提供技术细节之前对不安全的访问进行了测试。
Cariad 代表向 BleepingComputer 发表声明称,泄露的数据仅影响连接到互联网并已注册在线服务的车辆。
在近 80 万辆被暴露的汽车中,研究人员发现了 46 万辆汽车的地理位置数据,其中一些汽车的精度达到 10 厘米。
斯皮格尔说,其中 30 多辆汽车是汉堡警方的巡逻车队的一部分,其他汽车则属于疑似情报部门雇员。
该公司表示,CCC 黑客只有绕过需要大量时间和技术专长的多种安全机制才能访问数据。
此外,由于出于隐私目的,单个车辆数据均被匿名化,因此黑客必须组合不同的数据集才能将详细信息与特定用户关联起来。
然而,《明镜》周刊召集了一支由 IT 专家和记者组成的团队,他们发现有人使用免费软件收集了两位德国政客娜贾·韦珀特 (Nadja Weippert) 和联邦议院议员马库斯·格吕贝尔 (Markus Grübel) 的汽车位置详细信息。
这些工具搜索了包含敏感信息文件的暴露的 Cariad 资产,结果找到了来自内部 Cariad 应用程序的内存转储副本。
在内存转储中,黑客发现了亚马逊云存储实例的访问密钥,Cariad 在该云存储实例中保存了从大众集团客户车辆收集的数据。
据《明镜》周刊报道,一些数据点指的是电动机关闭时汽车的经度和纬度位置。
“对于大众汽车和西亚特汽车,地理数据精确度可达 10 厘米以内,而对于奥迪和斯柯达汽车,地理数据精确度可达 10 公里以内,因此问题较少” – Spiegel
受影响的车辆大部分(30 万辆)位于德国,但研究人员还发现了挪威(80,000 辆)、瑞典(68,000 辆)、英国(63,000 辆)、荷兰(61,000 辆)、法国(53,000 辆)、比利时(68,000 辆)和丹麦(35,000 辆)汽车的详细信息
。
负责任的披露后快速修复
Cariad 告诉 BleepingComputer,其安全团队迅速做出反应,解决了该问题,并在 CCC 向其发送报告的同一天关闭了访问权限。
CCC 代表向 Spiegel 证实,Cariad 的“技术团队反应迅速、彻底且负责任”,并且公司在收到技术细节后的数小时内就做出了反应。
根据调查结果,Cariad 没有证据表明除 CCC 黑客之外的其他方可以访问已泄露的车辆数据,或这些信息被第三方滥用。
该公司还强调,CCC 只能访问从车辆收集的数据,而无法访问汽车本身。
Cariad 表示,大众汽车集团品牌的客户可以同意使用需要处理个人数据的产品和服务,并且可以随时停用该选项。
不过,该公司指出,从车辆收集的数据有助于其“为客户提供、开发和改进数字功能”并创造额外的好处。
“如果没有这些数据,智能、数字化和个性化功能就无法提供、优化或扩展” – Cariad
举例来说,该公司解释说,客户的充电行为和习惯是匿名的,有助于优化未来的电池和充电软件。
同时,收集到的数据以保护客户身份及其与车辆的移动的方式存储在云端。
卡里亚德表示:“大众汽车集团旗下的品牌仅在法律法规和现有合同关系、合法利益或客户明确同意的框架内收集、存储、传输和使用个人数据。”
该汽车软件公司还表示,它采用了强大的数据保护措施,包括单独存储数据点、限制访问权限、假名化和匿名化,以及在规定目的内汇总和处理数据。
信息来源于网络:
- https://www.bleepingcomputer.com/news/security/customer-data-from-800-000-electric-cars-and-owners-exposed-online/
- https://www.spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027