
Μία σοβαρή παραβίαση ασφαλείας που αφορά σε προσωπικά δεδομένα από την εταιρεία λογισμικού Cariad, ήρθε πρόσφατα στη δημοσιότητα. Σύμφωνα με τα όσα έγιναν γνωστά, τα δεδομένα τοποθεσίας 800.000 ηλεκτρικών αυτοκινήτων του Ομίλου VW στην Ευρώπη, έμειναν εκτεθειμένα στο διαδίκτυο για αρκετούς μήνες.
Ένας πληροφοριοδότης φέρεται να ενημέρωσε το γερμανικό ειδησεογραφικό μέσο Spiegel και μια ευρωπαϊκή ομάδα χάκερ για το πρόβλημα στο σύστημα ασφαλείας, το οποίο συνδύαζε τα δεδομένα τοποθεσίας με προσωπικές πληροφορίες, όπως το όνομα του ιδιοκτήτη του οχήματος.

Το κενό στην ασφάλεια επέτρεψε στην εφημερίδα να παρακολουθήσει την τοποθεσία δύο Γερμανών πολιτικών με ανησυχητική ακρίβεια, εντοπίζοντας ένα μέλος της Επιτροπής Άμυνας της Γερμανίας στο γηροκομείο του πατέρα του και στη στρατιωτική βάση της χώρας.
Το Spiegel ανέφερε επίσης τον εντοπισμό των κινήσεων μιας δημάρχου, με το όχημά της να καταγράφει τις μετακινήσεις της από το δημαρχείο μέχρι τον φυσικοθεραπευτή της. Βρέθηκαν δεδομένα για αυτοκίνητα των Volkswagen, Audi, Seat και Skoda, μαζί με ιδιαίτερα αναλυτικά δεδομένα για τους ιδιοκτήτες των VW ID.3 και ID.4.
Αρκετά ΤΒ στο cloud της Amazon
Η εφημερίδα ανέφερε ότι βρήκε αρκετά ΤΒ δεδομένων προσβάσιμα στο cloud της Amazon, τα οποία περιλάμβαναν την τοποθεσία 460.000 οχημάτων και ήταν τόσο ακριβή, που οποιοσδήποτε με πρόσβαση θα μπορούσε να δημιουργήσει ένα λεπτομερές προφίλ των καθημερινών συνηθειών του κάθε ιδιοκτήτη.

Ανάμεσα στα δεδομένα, υπήρχαν πληροφορίες για τα 35 ηλεκτρικά οχήματα της αστυνομίας του Αμβούργου, για πολιτικούς, ηγέτες επιχειρήσεων, υπαλλήλους της Ομοσπονδιακής Υπηρεσίας Πληροφοριών, καθώς και οδηγούς που πήγαιναν στη στρατιωτική βάση των ΗΠΑ, στο Ramstein.
Όπως είναι λογικό, οι Γερμανοί πολιτικοί δεν ενθουσιάστηκαν όταν είδαν τα ονόματά τους στον κατάλογο των θιγόμενων μερών. Μια πολιτικός που εξέτασε τα δεδομένα που διέρρευσαν μαζί με το Spiegel χαρακτήρισε τα ευρήματα "σοκαριστικά", ενώ μια άλλη χαρακτήρισε ευθέως το περιστατικό "ενοχλητικό και προσβλητικό".
Και οι δύο προέτρεψαν τις τοπικές αυτοκινητοβιομηχανίες να βελτιώσουν δραστικά την κυβερνοασφάλειά τους.
Αιτία μια "λανθασμένη ρύθμιση"
Από την άλλη πλευρά, η ομάδα χάκερ, Chaos Computer Club, ενημέρωσε την Cariad για την αδυναμία στο σύστημα ασφαλείας, η οποία φέρεται να διορθώθηκε άμεσα. Η εταιρεία δήλωσε στο Spiegel ότι η παραβίαση ήταν αποτέλεσμα μιας "λανθασμένης ρύθμισης" και ότι δεν συγχωνεύει δεδομένα που θα μπορούσαν να επιτρέψουν την κατασκευή ενός προφίλ για ένα άτομο.
Σύμφωνα με την Cariad, οι ερευνητές χρειάστηκε να συνδυάσουν διάφορα αρχεία δεδομένων, παρακάμπτοντας αρκετούς μηχανισμούς ασφαλείας. Επίσης, ανέφερε ότι δεν είναι ενήμερη για πρόσβαση σε αυτά τα δεδομένα από κανέναν άλλον, εκτός από την ομάδα CCC.