Až 800-tisíc elektromobilov koncernu VW Group jazdilo po Európe, no ich údaje o polohe neboli chránené. Prístup k ním tak mohol mať prakticky hocikto.
Toto by sa rozhodne nemalo stávať. Na povrch vyplával ďalší škandál súvisiaci s VW Group. Tentoraz sa však týka jeho elektrických vozidiel. Ako uvádza nemecký magazín Spiegel, zo strany softvérovej spoločnosti Cariad, ktorá je dcérskou spoločnosťou VW Group, došlo k nemalému pochybeniu. Firma sa totiž stará práve o softvérové zabezpečenie áut VW, no podľa všetkého stovky tisíc elektromobilov jazdilo po Európe s veľkou bezpečnostnou dierou.
Údaje o polohe až 800-tísic elektrických vozidiel VW Group totiž neboli zabezpečené a až niekoľko mesiacov boli dostupné prakticky hocikomu. Bolo tiež možné zistiť, kde a ako dlho bolo vozidlo zaparkované. Dáta okrem toho obsahovali aj kontaktné údaje majiteľov. Publikácii Spiegel sa podarilo dostať k týmto informáciám. Dokonca ku konkrétnym údajom dvoch nemeckých politikov.
Z údajov sa dala zistiť presná poloha vozidla
Jednou z nich bola Nadja Weippert, ktorá je poslankyňou dolnosaského krajinského parlamentu a starostkou obce Tostedt. Minulý rok v septembri začala používať svoj nový VW ID.3, ktorý si prepojila s mobilnou aplikáciou. Vozidlo následne začalo zbierať GPS údaje, z ktorých sa dal vytvoriť podrobný pohybový profil majiteľa auta. Nemecký Spiegel tak presne vedel zistiť, kedy parkovala pred mestskou radnicou, kedy bola v parlamente či kedy zašla do pekárne alebo športového klubu. Obdobné informácie boli schopní zistiť aj o Markusovi Grübelovi, poslancovi Nemeckého spolkového snemu. Podarilo sa im nájsť dáta z vozidiel značiek VW, Audi, Seat či Škoda, vrátane detailných údajov o majiteľoch vozidiel ID.3 a ID.4. Všetko bolo verejne dostupné.
Publikácia uvádza, že našla až niekoľko terabajtov údajov o 800-tisíc vozidlách prístupných v cloudovom úložisku spoločnosti Amazon. Presnú polohu bolo možné zobraziť až pre 460 000 vozidiel. Našla informácie aj o 35 elektromobiloch vo vozovom parku hamburskej polície, o ďalších politikoch, vedúcich predstaviteľoch podnikov či zamestnancoch federálnych inteligentných služieb. Netreba asi zdôrazňovať aké bezpečnostné riziko to predstavuje.
Vraj išlo o „nesprávnu konfiguráciu“
Keď sa hackerská skupina Chaos Computer Club (CCC) dozvedela o zraniteľnosti, kontaktovala Cariad s príslušnými technickými podrobnosťami. Písali aj centrále VW Group, dolnosaskému štátnemu úradníkovi pre ochranu údajov, Spolkovému ministerstvu vnútra a ďalším bezpečnostným orgánom. CCC už mnoho rokov pôsobí aj ako sprostredkovateľ na hlásenie bezpečnostných medzier v IT systémoch. Cariad túto dieru do niekoľkých hodín opravil, no svoju chybu označili za „nesprávnu konfiguráciu“. Spoločnosť zároveň tvrdí, že nemá žiadne náznaky zneužitia daných údajov tretími stranami. Bez upozornenia od CCC si však túto bezpečnostnú medzeru niekoľko mesiacov nevšimli.
Nejde preto o vôbec dobrú vizitku pre VW Group, na ktorý sa to v posledných mesiacoch poriadne valí. Finančné problémy, prepúšťanie, možné zatváranie tovární v Nemecku a teraz aj nezabezpečené údaje o polohe ich vozidiel.
