quange
大众汽车的汽车软件公司 Cariad 泄露了从约 80 万辆电动汽车收集的数据。这些信息可能与驾驶员姓名相关联,并揭示精确的车辆位置。
数以太计的大众客户详细信息在亚马逊云存储中数月未受保护,任何稍有技术知识的人都可以追踪驾驶员的行动或收集个人信息。
暴露的数据库包括大众、西雅特、奥迪和斯柯达车辆的相关细节,其中一些的地理位置数据精确到几厘米。
精确的地理位置数据
由于 Cariad 在两个 IT 应用中的配置错误,汽车数据访问成为可能,一位公司代表告诉 BleepingComputer。
Cariad 于 11 月 26 日收到欧洲最大的道德黑客组织——混沌计算机俱乐部(CCC)关于该问题的通知,该俱乐部已超过 30 年致力于推广安全、隐私和信息的自由访问。
根据德国出版物《明镜》,CCC 是从一名举报者那里得知这一漏洞的,并在通知 Cariad 和负责的 Volkswagen 以及提供技术细节之前测试了不安全的访问。
在向 BleepingComputer 的声明中,Cariad 的一位代表表示,受影响的数据仅限于连接到互联网的车辆,并且这些车辆已注册在线服务。
从近 80 万辆受影响的车辆中,研究人员找到了 46 万辆车的地理定位数据,其中一些的精度达到十厘米。
略超过 30 辆车是汉堡警察巡逻车队的部分,其余的属于被怀疑的情报服务员工,斯皮格尔说。
公司表示,CCC 黑客只有在绕过需要大量时间和技术专长的几个安全机制后才能访问数据。
此外,由于出于隐私目的对个别车辆数据进行了匿名化处理,黑客不得不结合不同的数据集来将详细信息与特定用户关联起来。
然而,斯皮格尔组建了一支由 IT 专家和记者组成的团队,他们使用免费软件从两位德国政治家纳佳·韦佩尔特和联邦议院成员马克斯·格鲁贝尔的汽车中收集到了位置详细信息。
工具搜索了包含敏感信息文件的暴露的 Cariad 资产,这导致了找到一份来自内部 Cariad 应用的内存转储副本。
在内存转储中,黑客发现了访问亚马逊云存储实例的密钥,Cariad 在其中保存了从大众集团客户车辆收集的数据。
镜报报道称,一些数据点提到了当电动机关闭时汽车的经纬度位置。
在大众车型和西雅特车型的情况下,这些地理数据精确到厘米级,而对于奥迪和斯柯达车型,精确到千米级,因此问题较少——镜报
受影响的大部分车辆,其中 300,000 辆在德国,但研究人员还发现了关于挪威(80,000 辆)、瑞典(68,000 辆)、英国(63,000 辆)、荷兰(61,000 辆)、法国(53,000 辆)、比利时(68,000 辆)和丹麦(35,000 辆)的汽车详情。
快速响应负责任披露后的修复
Cariad 告诉 BleepingComputer,其安全团队迅速响应修复了问题,并在 CCC 发送报告的同一天关闭了访问权限。
CCC 代表确认对《Spiegel》表示,Cariad 的“技术团队迅速、全面、负责任地做出了回应”,并且公司在收到技术细节后数小时内做出了反应。
基于其调查结果,Cariad 没有证据表明除了 CCC 黑客外,其他方曾访问过暴露的车辆数据,或者信息被第三方滥用。
公司还强调,CCC 只能访问从车辆收集的数据,无法访问汽车本身。
凯瑞德表示,大众集团品牌客户可以同意使用需要处理个人数据的产品和服务,并且可以随时取消该选项。
然而,公司指出,从车辆收集的数据有助于其“为顾客提供、开发和改进数字功能”,以及创造额外利益。
“没有这些数据,无法提供、优化或扩展智能、数字和个性化功能” – Cariad
例如,该公司解释称,客户的充电行为和习惯被匿名化,有助于优化未来的电池和充电软件。
同时,收集到的数据以保护客户身份及其车辆移动的方式存储在云端。
“大众集团旗下的品牌仅在法律规范、现有合同关系、合法利益或客户明确同意的框架内收集、存储、传输和使用个人数据,”Cariad 表示。
汽车软件公司还表示,它采用强大的数据保护措施,包括分别存储数据点、限制访问权限、匿名化和脱敏,以及根据声明目的进行数据聚合和处理。
