Через Cariad дані про 800 000 авто VW були доступні онлайн

Підключений автомобіль, здатний взаємодіяти з різноманітними системами за межами внутрішньої мережі, це дуже зручно та цікаво – допоки якась компанія не залишить незашифровані дані про ваше авто та його переміщення десь в інтернеті. Саме це сталося з понад 800 тисячами електромобілів Volkswagen Group, коли її дочірня компанія Cariad, що забезпечує розробку та підтримку ПО автоматизації процесів в машинах VW, полишила терабайти незахищених даних про авто європейських користувачів в хмарному сервісі Amazon.

За даними журналістів Motor1, інформатор повідомив про кібервразливість платформи Cariad представників німецького видавництва Der Spiegel, а також європейську асоціацію хакерів Chaos Computer Club. Повідомляють, що витік інформації про розташування сотень тисяч автомобілів тривав кілька місяців. Окрім локації автомобілів, в незахищеному джерелі також містилися дані про особисті деталі їхніх власників – імена, адреси тощо. Ця діра в безпеці платформи дозволила з лякаюче високою точністю відстежувати місце перебування двох німецьких політиків. Так, потенційні зловмисники могли б бачити, як член оборонного комітету Німеччини відвідує свого батька в будинку для літніх людей, а також військові бази країни. Журналісти Der Spiegel також змогли легко дізнатися, де перебувала мер одного з німецьких міст, відстежуючи її пересування від міської адміністрації до її фізіотерапевта.

Варто зазначити, що ця вразливість торкнулася декількох брендів, зібраних під крилом Volkswagen Group: Volkswagen, Audi, SEAT, Skoda тощо. В незахищеному хмарному сервісі можна було знайти дуже детальну інформацію про власників автомобілів моделей ID.3 та ID.4. З 800 тисяч уражених авто дані про 460 тисяч транспортних засобів дозволяли надзвичайно точно встановити деталі повсякденного життя їхніх власників. Онлайн виявилися доступними дані про електричний флот поліції міста Гамбург (35 авто), численних політиків, бізнесменів та співробітників німецьких спецслужб – розвідки, внутрішньої безпеки тощо.

Представники Chaos Computer Club та Der Spiegel протягом деякого часу збирали свідчення про витік інформації, аби надати Cariad залізобетонні свідчення про ситуацію та вказати на конкретні прогалини у кібербезпеці платформи. У Cariad зазначили, що ця вразливість виникла внаслідок «порушення конфігурації». В компанії також пояснили, що її системи перешкоджають компіляції інформації задля запобігання створенню сторонніх профілів окремих власників, а дослідникам з CCC та Der Spiegel довелося об’єднувати різні набори даних, аби обійти механізми безпеки платформи. Вони також запевнили, що ніхто, крім CCC, не мав доступу до незашифрованих даних в хмарному сервісі.