Електромобілі поставили під загрозу приватні дані водіїв: як це сталося
30 Грудня 2024 18:46
Протягом кількох місяців були оприлюднені дані про місцезнаходження близько 800 тисяч електромобілів Volkswagen. Як пише DER SPIEGEL, витік стався через помилку в дочірній компанії VW – Cariad, передає «Комерсант Український».
Повідомляється, що в багатьох випадках ці дані можуть бути пов’язані з іменами та контактною інформацією водіїв шляхом порівняння з іншими мережевими даними й, таким чином, використовуватися для створення профілів поїздок.
Дані залишалися незахищеними протягом декількох місяців у хмарному сховищі Amazon і були доступні дані про точне місцезнаходження приблизно 460 тисяч автомобілів. Більшість даних датується 2024 роком, але деякі з них ще старіші. Особливо детальною була інформація про власників моделей VW ID.3 та ID.4. Постраждали також політики, бізнесмени, поліція Гамбурга і, можливо, співробітники спецслужб.
Витік, ймовірно, був спричинений помилкою в дочірній компанії VW – Cariad. Генеральний директор Volkswagen Group Олівер Блюме нещодавно ініціював закриття цієї дочірньої компанії з розробки програмного забезпечення, а один з керівників компанії нещодавно назвав Cariad “найбільшою бомбою, яку коли-небудь мала ця компанія”.
Детальніше про витік данних компанії Volkswagen розповів у своїй колонці німецький журналіст Арно Франк.
У своєму дописі “Шпигун у моєму гаражі” (Der Spitzel in meiner Garage) він говорить про те, що “сучасні автомобілі — це гігантські пилосмоки зі збору даних”. Незліченні датчики постійно фіксують, хто де їде, з якою швидкістю, де припаркований і як довго. Ці величезні обсяги даних зберігаються в хмарі. Надзвичайно чутливі дані, з яких, у найгіршому випадку, можна отримати персональні профілі пересування водіїв.
Що відомо про витік даних Volkswagen та хто постраждав через це
Саме така ситуація сталася днями з VW. Через збій у програмному забезпеченні дочірньої компанії VW Cariad кілька терабайтів даних про електрокари були настільки незахищеними в хмарній системі зберігання даних Amazon, що доступ до них могли отримати навіть “нудьгуючі підлітки”, не кажучи вже про шпигунів, шахраїв, шантажистів.
Так, шахраї могли використовувати ці дані для створення правдоподібних фішингових електронних листів, в яких вони видавали себе за Volkswagen, постачальника або дочірню компанію, наприклад, для того, щоб запросити дані кредитної картки або іншу платіжну інформацію.
“Усе було у відкритому доступі, треба було лише знати, де шукати. Потрібно було не більше кількох вільно доступних комп’ютерних програм, які є стандартними інструментами як для кримінальних хакерів, так і для експертів з ІТ-безпеки”, – пише Арно Франк.
Але, за словами автора колонки, замість того, щоб говорити про прогалину в безпеці (яку вже закрито), компанія воліє говорити про “неправильну конфігурацію”.
Однією з жертв витоку даних вже стала депутат парламенту землі Нижня Саксонія від партії “зелених” Надя Вайпперт. Автомобіль політика фактично “шпигував” за нею, збираючи приватні дані та передаючи їх виробникові обладнання. Таким чином можна було дізнатися про спортивний клуб, улюблену пекарню та кабінет фізіотерапевта, які відвідувала Вайпперт.
Навіщо компанія збирала дані про власників авто
Але навіщо Cariad взагалі збирає всі ці дані? Компанія повідомила SPIEGEL, що дані про поведінку та звички клієнтів під час заряджання використовуються для вдосконалення акумуляторів та відповідного програмного забезпечення. Cariad підкреслила, що дані ніколи не об’єднуються всередині групи таким чином, щоб можна було робити висновки про окремих осіб або створювати профілі пересування.
Які сучасні автомобілі “шпигують” за своїми власниками
У дописі також йдеться про те, що проблема виходить далеко за межі одного виробника і стосується цілої індустрії, в якій програмне забезпечення вже давно важливіше за апаратне.
Так, випадкова вибірка з чотирьох типів автомобілів BMW, Renault і Mercedes показала, що B-Class, наприклад, передає своє поточне місцезнаходження в Mercedes кожні дві хвилини. Крім того, система повідомляє про пробіг, рівень палива, тиск у шинах і кількість пристебнутих ременів безпеки — все це дає інформацію, яка дозволяє зробити висновки про стиль водіння. А тестований BMW i3 після вимкнення передавав детальні дані про стан акумулятора і місцезнаходження 16 раніше використаних зарядних станцій.
У кого ще із виробників авто були проблеми з приватними даними
VW – далеко не єдиний автовиробник, який має значні проблеми з безпекою через потік даних. У січні 2023 року команда на чолі з 23-річним на той час хакером Семом Каррі з Омахи, штат Небраска, продемонструвала, як вони змогли отримати доступ до будь-яких облікових записів співробітників і дилерів BMW і переглянути документи про продажі. Вони також проникли в корпоративний чат Mercedes-Benz.
Прогалини в безпеці, виявлені хакерами в KIA, були ще серйознішими. Вони змогли дистанційно розблокувати й навіть завести автомобілі південнокорейського виробника. На щастя, Каррі та його команда були так званими білими хакерами, які діяли так само як Chaos Computer Club у випадку з Cariad – вони заздалегідь поінформували постраждалі компанії, і вразливості були закриті.
