Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Grupul Volkswagen expune datele a 800,000 de mașini electrice

Cariad, compania de software a Grupului Volkswagen a expus online date sensibile colectate de la aproximativ 800,000 de vehicule electrice.

Informația conține detalii precise de locație pentru 460,000 de mașini Volkswagen, Seat, Audi, și Skoda preponderent din Germania, dar și din alte țări europene.

Câțiva terabytes de baze de date pe care Cariad le colectează de la mașini pentru a îmbunătăți componentele software au fost expuse online fară protecție adecvată timp de câteva luni.

Problema a fost raportată de către un whistleblower publicației germane Spiegel și organizației Chaos Computer Club (CCC), cea mai mare asociație de hackeri etici din Europa, care militează pentru folosirea unei tehnologii sigure care să protejeze dreptul utilizatorilor la viață privată și accesul liber la informație.

Localizare cu acuratețe de 10 centimetri

Cariad a aflat despre problema expunerii sistemului cloud de la Amazon cu datele mașinilor dintr-un dintr-un raport tehnic transmis responsabil de hackerii de la CCC, și a blocat accesul în câteva ore.

Spiegel a testat cât de greu i-ar fi fost unui hacker rău intenționat sau unui actor statal să acceseze informația colectată de Cariad și a descoperit că oricine avea cunoștințe tehnice medii ar fi putut obține datele destul de ușor.

Conform publicației, un hacker ar fi putut obține acces la bazele de date folosind programe disponibile gratuit și care sunt specifice activităților de pentesting, bug hunting, sau red teaming în stadiul de descoperire a serviciilor vulnerabile aferente unei ținte date.

Jurnaliștii Spiegel apreciază că accesul la detaliile sensibile nu ar fi reprezentat o provocare pentru serviciile de spionaj ale unui stat, competitori Volkswagen, sau chiar adolescenți interesați de hacking.

In Germania, 300,000 de mașini au fost afectate de breșa de date, in timp ce numărul vehiculelor din alte țări este semnificativ mai mic.

Numărul de mașini afectate de breșa de date Cariad (sursa: Spiegel)

Cariad a spus că problema a fost cauzată de configurarea incorectă a două aplicații, ceea a lăsat acces liber la mai multe baze de date cu informații colectate de la vehicule.

Informația expusă putea fi utilizată pentru a monitoriza locația mașinilor și a le corela cu proprietarii sau șoferii lor.

Cu ajutorul unor unelte software specifice, hackerii CCC au descoperit mai multe link-uri de la Cariad care în mod normal nu sunt vizibile utilizatorilor obișnuiți. Unul din link-uri direcționa către un memory dump al unei aplicații interne a companiei.

Analizând conținutul, hackerii au găsit chei de acces pentru depozitul de stocare folosit de Cariad în cloud-ul Amazon, unde erau păstrate individual datele pentru fiecare vehicul conectat.

În cazul modelelor Volkswagen ID.3 și 4, erau suficiente detalii pentru a vedea când mașină era pornită și pentru localizarea geografica la oprirea motorului.

Pentru unele modele de Volkswagen și Seat, datele GPS erau atât de precise încât localizarea se putea face cu o acuratețe de 10 centimetri. Situația era complet diferită pentru Skoda și Audi, localizarea facându-se într-un areal de 10 kilometri.

Combinând informații din mai multe baze de date, hackerii au demonstrat că pot corela o mașină cu identitatea unui proprietar. Astfel, hackerii au găsit mașinile a doi politicieni germani, Nadja Weippert – primar al municipalității Tostedt, și Markus Grübel – membru Bundestag.

Identitatea unui proprietar corelată cu geo locația mașinii la oprirea motorului pot dezvălui nu numai zona, sau chiar clădirea în care lucrează o persoană, ci și unde locuiește, sau unde merge cu regularitate. Toate acestea sunt detalii care trebuie protejate, mai ales în cazul unei persoane publice.

În testele efectuate, echipa Spiegel a localizat aproximativ 35 de mașini aparținând patrulei de politie din Hamburg, precum și vehicule ale unor posibili angajați ai unor servicii de informații.

Cariad răspunde prompt

Imediat ce a aflat de problemă, Cariad a reacționat prompt și a cerut mai multe detalii tehnice pentru a putea lua măsurile necesare. În câteva ore a blocat accesul la bazele de date.

Compania a precizat că folosește tehnologii de protecție a datelor utilizatorilor și anonimizează detaliile colectate pentru a nu putea fi folosite spre identificarea unui utilizator.

Totuși, breșa a permis accesul la mai multe baze de date, unele cu detalii dintr-o aplicație pe care proprietarii mașinilor o pot folosi pentru a-și crea un profil personal ce include nume și date de contact.

Cariad a menționat că hackerii au reușit să identifice unii utilizatori doar după ce au trecut de mai multe sisteme de siguranță și au combinat detalii din mai multe baze de date.

Desi analiza incidentului nu este finalizată, compania spune că nu a găsit deocamdată probe care să indice că altcineva decât hackerii CCC au accesat informația utilizatorilor sau că aceasta a fost utilizata în mod fraudulos.

Tags

Picture of Cala Rasi

Cala Rasi

știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna