大众汽车的汽车软件公司 Cariad 曝光了从约 80 万辆电动汽车中收集的数据。 这些信息可以与驾驶员的姓名联系起来,并揭示出车辆的精确位置。 亚马逊云存储中数以兆计的大众汽车客户详细信息数月来一直未受保护,这使得任何不懂技术的人都可以追踪驾驶员的行踪或收集个人信息。 被曝光的数据库包括大众、西亚特、奥迪和斯柯达汽车的详细信息,其中一些车辆的地理位置数据精确到几厘米。
精确的地理位置数据 Cariad 公司的一位代表告诉 BleepingComputer,由于 Cariad 在两个 IT 应用程序中的配置不正确,导致了汽车数据的访问。 Cariad 于 11 月 26 日从欧洲最大的道德黑客组织 Chaos Computer Club(CCC)处获悉了这一问题,该组织 30 多年来一直致力于促进安全、隐私和信息的自由访问。
据德国《明镜周刊》报道,CCC 从一名举报人那里发现了这一漏洞,并对不安全访问进行了测试,然后通知了 Cariad 和大众汽车公司负责人,并提供了技术细节。 Cariad 的一名代表在给 BleepingComputer 的一份声明中说,暴露的数据只影响到连接到互联网并注册了在线服务的车辆。
明镜周刊》称,在被曝光的近 80 万辆汽车中,研究人员发现了 46 万辆汽车的地理位置数据,其中一些数据的精确度达到了 10 厘米。 明镜周刊》称,有 30 多辆汽车属于汉堡警方的巡逻车队,而其他车辆则属于疑似情报部门的雇员。 该公司表示,CCC 黑客只有在绕过了几个安全机制后才能访问这些数据,而这需要大量的时间和专业技术知识。
此外,由于出于保护隐私的目的,单个车辆数据被化名,黑客必须将不同的数据集结合起来,才能将详细信息与特定用户联系起来。 不过,《明镜周刊》组建了一个由 IT 专家和记者组成的团队,他们利用免费提供的软件,找到了从两位德国政治家纳贾-魏珀特(Nadja Weippert)和联邦议院议员马库斯-格吕贝尔(Markus Grübel)的汽车上收集到的位置详细信息。 这些工具搜索了包含敏感信息文件的已暴露的 Cariad 资产,从而找到了一份 Cariad 内部应用程序的内存转储副本。
在内存转储中,黑客发现了亚马逊云存储实例的访问密钥,Cariad 在该实例中保存了从大众汽车集团客户的车辆中收集的数据。 据 Spiegel 报道,一些数据点涉及汽车在关闭电动马达时的经纬度位置。
信息来源:https://www.bleepingcomputer.com/news/security/customer-data-from-800-000-electric-cars-and-owners-exposed-online/