Serwis pod patronatem magazynu
Najlepsze Auta Roku
Zagłosuj
Po długich perturbacjach Volkswagen w końcu jako tako dogadał się ze związkowcami, udało się też uratować fabryki przed zamknięciem. Ale wytchnienia nie ma: właśnie wyszło na jaw, że Grupa VAG ma kolejny problem, bo ze względu na słabe zabezpieczenia doszło do wycieku danych 800 tys. użytkowników elektrycznych aut m.in. Audi, Skody, Cupry oraz Volkswagena. No i wszyscy już wiedzą, co robiłeś zeszłego lata.
Jako jeden z pierwszych o aferze poinformował tygodnik der Spiegel. Okazuje się bowiem, że dane lokalizacyjne i osobowe dotyczące ok. 800 000 właścicieli pojazdów elektrycznych przez wiele miesięcy były swobodnie dostępne w internecie. I to w zasadzie dla każdego.
Mówiąc bardziej obrazowo – jeśli masz BEV-a ze stajni Grupy VAG, to dziś już każdy wie, co robiłeś ostatniego lata. I dokąd jeździłeś od tamtej pory. Jakby tego było mało, wśród osób dotkniętych wyciekiem danych są i politycy, i osoby publiczne z pierwszych stron gazet. I to nie tylko z Niemiec, ale z całej Europy. W tym – zapewne i z Polski.
A jak do tego w ogóle doszło? Otóż dane z aplikacji VW były przechowywane w nieodpowiednio zabezpieczonej chmurze. Za zamieszanie winy nie ponosi jednak Amazon – to do tej firmy należały „dziurawe” serwery – a spółka-córka VW o nazwie Cariad. To ten podmiot opracował dla Grupy VAG aplikację, od której wszystko się zaczęło.
Jak każda tego typu aplikacja, również ta opracowana przez firmę Cariad, umożliwia właścicielom elektryków ze stajni VAG m.in. zdalne ustawianie klimatyzacji, sprawdzanie stanu naładowania baterii itp. Sęk w tym, że apka zbiera również informacje z GPS i dane dotyczące jazdy, a następnie przesyła je z powrotem do producenta. Przedstawiciel spółki Cariad przekazał w rozmowie ze Spieglem, że gromadzenie danych dotyczących nawyków kierowców związanych z ładowaniem baterii jest potrzebne do tego, by producent mógł stale ulepszać technologię oraz elektronikę sterującą. Dane te miały nie być łączone z innymi zbiorami danych wewnątrz firmy, co z kolei powinno uniemożliwiać ich powiązanie z konkretnymi osobami i profilami pojazdów.
Dziś wiemy już, że to bez znaczenia o tyle, że wrażliwe informacje pozostawiono niezaszyfrowane i niemal całkowicie „odsłonięte”. Spiegel ironizuje, że wystarczyło wiedzieć, gdzie szukać, a dostęp do nich był łatwy nawet dla znudzonych nastolatków.
Słabe zabezpieczenia sprawiły, że normalnie niewidoczne strony i podstrony Cariad stały się widoczne dzięki łatwym do złamania zabezpieczeniom. Aby złamać jedno z nich, wystarczyło zmienić rozszerzenia konkretnych plików. To z kolei dawało dostęp do świeżo wygenerowanego zrzutu pamięci wewnętrznej aplikacji Cariad. Nie wymagało to hasła, a w zrzucie znajdowały się dane logowania do chmury Amazon, która przechowywała wszystkie wrażliwe informacje dotyczące pojazdów. Koniec, koło się zamyka.
Na domiar złego niektóre ujawnione informacje są dość szczegółowe. Przykład? Proszę bardzo: dla modeli VW i Seata/Cupry wyciekły dane geolokalizacyjne, których precyzja sięgała… 10 cm od faktycznej lokalizacji pojazdu. W przypadku Audi i Skody było to ok. 10 km – czyli już wystarczająco blisko, aby podejrzewać partnera o zdradę, ale na tyle daleko, by… dać mu jeszcze szansę wytłumaczenia się. Wśród ujawnionych danych znalazły się również adresy e-mail właścicieli, adresy zamieszkania i numery telefonów.
Jak na ironię, dopiero największe niemieckie stowarzyszenie hakerów (Chaos Computer Club; CCC), poinformowało Grupę VAG o luce w zabezpieczeniach. I dopiero dzięki temu wyciek danych dało się zatrzymać. Cariad twierdzi, że poza zgłoszeniem od CCC nie ma żadnych dowodów na niewłaściwe wykorzystanie danych przez osoby trzecie. Ponadto, żadne hasła ani informacje o płatnościach nie zostały ujawnione, więc właściciele nie muszą podejmować dodatkowych działań. Jesteście już spokojni? Bo my chyba jednak nie do końca.
