Данные более 800 тысяч владельцев электромобилей Volkswagen Group несколько месяцев оставались в открытом доступе

Дочерняя компания немецкой Volkswagen, Cariad, раскрыла данные примерно 800 тыс. владельцев электромобилей группы. Компания-разработчик программного обеспечения хранила терабайты данных пользователей в облачном хранилище Amazon, которое оставалось незащищённым в течение нескольких месяцев. Это позволяло отслеживать перемещение водителей и собирать личные данные.

В раскрытых базах данных содержались сведения об автомобилях VW, Seat, Audi и Skoda, причём для 460 тыс. из них точность геолокации составляла несколько сантиметров. 

Доступ к данным стал возможен благодаря некорректной конфигурации двух приложений Cariad. В конце прошлого месяца о проблеме компанию предупредила Chaos Computer Club (CCC) — организация этичных хакеров, которая выступает за безопасность, конфиденциальность и свободный доступ к информации.

Раскрытые данные затронули только зарегистрированные в онлайн-сервисах автомобили. Более того, свыше 30 отслеживаемых автомобилей принадлежали полиции Гамбурга, а часть — сотрудникам разведывательной службы Германии.

Хакеры CCC получили доступ к данным, обойдя несколько механизмов безопасности, что потребовало весьма много времени и технических знаний. Специалистам пришлось объединить различные наборы данных, чтобы связать их с конкретными пользователями. 

Собранные изданием Spiegel IT-эксперты и журналисты при помощи свободно распространяемого ПО смогли обнаружить данные о местоположении автомобилей двух немецких политиков.

Инструменты искали открытые ассеты Cariad, содержащие файлы с конфиденциальной информацией, в результате чего была обнаружена копия дампа памяти в приложении разработчика софта. Там же нашли ключи доступа к облачному хранилищу на Amazon, где Cariad хранила данные, собранные с транспортных средств