Электромобили поставили под угрозу приватные данные водителей: как это произошло
30 декабря 2024 18:46
В течение нескольких месяцев были обнародованы данные о местонахождении около 800 тысяч электромобилей Volkswagen. Как пишет DER SPIEGEL, утечка произошла из-за ошибки в дочерней компании VW — Cariad, передает «Коммерсант Украинский».
Сообщается, что во многих случаях эти данные могут быть связаны с именами и контактной информацией водителей путем сравнения с другими сетевыми данными и, таким образом, использоваться для создания профилей поездок.
Данные оставались незащищенными в течение нескольких месяцев в облачном хранилище Amazon и были доступны данные о точном местонахождении примерно 460 тысяч автомобилей. Большинство данных датируется 2024 годом, но некоторые из них еще более старые. Особенно подробной была информация о владельцах моделей VW ID.3 и ID.4. Пострадали также политики, бизнесмены, полиция Гамбурга и, возможно, сотрудники спецслужб.
Утечка, вероятно, была вызвана ошибкой в дочерней компании VW — Cariad. Генеральный директор Volkswagen Group Оливер Блюме недавно инициировал закрытие этой дочерней компании по разработке программного обеспечения, а один из руководителей компании недавно назвал Cariad «самой большой бомбой, которую когда-либо имела эта компания».
Подробнее об утечке данных компании Volkswagen рассказал в своей колонке немецкий журналист Арно Франк.
В своей заметке «Шпион в моем гараже» (Der Spitzel in meiner Garage) он говорит о том, что «современные автомобили — это гигантские пылесосы по сбору данных». Бесчисленные датчики постоянно фиксируют, кто где едет, с какой скоростью, где припаркован и как долго. Эти огромные объемы данных хранятся в облаке. Чрезвычайно чувствительные данные, из которых, в худшем случае, можно получить персональные профили передвижения водителей.
Что известно об утечке данных Volkswagen и кто пострадал из-за этого
Именно такая ситуация произошла на днях с VW. Из-за сбоя в программном обеспечении дочерней компании VW Cariad несколько терабайт данных об электрокарах были настолько незащищенными в облачной системе хранения данных Amazon, что доступ к ним могли получить даже «скучающие подростки», не говоря уже о шпионах, мошенниках, шантажистах.
Так, мошенники могли использовать эти данные для создания правдоподобных фишинговых электронных писем, в которых они выдавали себя за Volkswagen, поставщика или дочернюю компанию, например, для того, чтобы запросить данные кредитной карты или другую платежную информацию.
«Все было в открытом доступе, надо было лишь знать, где искать. Нужно было не более нескольких свободно доступных компьютерных программ, которые являются стандартными инструментами как для криминальных хакеров, так и для экспертов по ИТ-безопасности», — пишет Арно Франк.
Но, по словам автора колонки, вместо того, чтобы говорить о пробеле в безопасности (который уже закрыт), компания предпочитает говорить о «неправильной конфигурации».
Одной из жертв утечки данных уже стала депутат парламента земли Нижняя Саксония от партии «зеленых» Надя Вайпперт. Автомобиль политика фактически «шпионил» за ней, собирая частные данные и передавая их производителю оборудования. Таким образом можно было узнать о спортивном клубе, любимой пекарне и кабинете физиотерапевта, которые посещала Вайпперт.
Зачем компания собирала данные о владельцах авто
Но зачем Cariad вообще собирает все эти данные? Компания сообщила SPIEGEL, что данные о поведении и привычках клиентов во время зарядки используются для совершенствования аккумуляторов и соответствующего программного обеспечения. Cariad подчеркнула, что данные никогда не объединяются внутри группы таким образом, чтобы можно было делать выводы об отдельных лицах или создавать профили передвижения.
Какие современные автомобили «шпионят» за своими владельцами
В заметке также говорится, что проблема выходит далеко за пределы одного производителя и касается целой индустрии, в которой программное обеспечение уже давно важнее аппаратного.
Так, случайная выборка из четырех типов автомобилей BMW, Renault и Mercedes показала, что B-Class, например, передает свое текущее местонахождение в Mercedes каждые две минуты. Кроме того, система сообщает о пробеге, уровне топлива, давлении в шинах и количестве пристегнутых ремней безопасности — все это дает информацию, которая позволяет сделать выводы о стиле вождения. А тестируемый BMW i3 после выключения передавал детальные данные о состоянии аккумулятора и местонахождении 16 ранее использованных зарядных станций.
У кого еще из производителей авто были проблемы с приватными данными
VW — далеко не единственный автопроизводитель, который имеет значительные проблемы с безопасностью из-за потока данных. В январе 2023 года команда во главе с 23-летним на то время хакером Сэмом Карри из Омахи, штат Небраска, продемонстрировала, как они смогли получить доступ к любым учетным записям сотрудников и дилеров BMW и просмотреть документы о продажах. Они также проникли в корпоративный чат Mercedes-Benz.
Пробелы в безопасности, обнаруженные хакерами в KIA, были еще более серьезными. Они смогли дистанционно разблокировать и даже завести автомобили южнокорейского производителя. К счастью, Карри и его команда были так называемыми белыми хакерами, которые действовали так же как Chaos Computer Club в случае с Cariad — они заранее проинформировали пострадавшие компании, и уязвимости были закрыты.
