Gigant motoryzacyjny zawiódł, dane były dostępne od miesięcy

Sprawa jest na tyle poważna, że dotyka samochody z ogromnej grupy, w skład, w której wchodzi kilka popularniejszych marek w Europie, a pewnie jednej z najpopularniejszych w Polsce. Terabajty danych zawierające wrażliwe dane, zarejestrowanych użytkowników były dostępne przy użyciu niewielkiego wysiłku.

Kto jak kto, ale tak wielka firma dopuściła do niedopatrzenia?

Jak donosi der Spiegel, dostępne były do pobrania dane takie jak adresy poczty elektronicznej, adresy użytkowników, a w niektórych przypadkach nawet numery telefonów. Ponadto oczywiście lokalizacja samochodów z precyzją osiągającą nawet dziesięć centymetrów! Właściciele aż 800 000 samochodów grupy Volkswagen, na pewno nie mieli dobrego dnia, gdy informacja wyszła na jaw.

Liczba wciąż może się wydawać mała, biorąc pod uwagę jak wiele samochodów marek Audi, Seat, Skoda oraz Volkswagen jeździ po drogach. Warto zatem dodać, że nie muszą się czuć zagrożeni wszyscy właściciele tych pojazdów, dotknięta przeciekiem danych została grupa użytkowników samochodów elektrycznych. Co ciekawe, hackerzy mieli największą trudność z określeniem położenia marek Audi oraz Skoda. Dane geolokalizacyjne sugerowały pozycję zaparkowanego samochodu z dokładnością do dziesięciu kilometrów. Równie ciekawe, lecz już bardzo niepokojąca jest szczegółowość Seatów i Volkswagenów, tam już taki problem nie istniał i pojazdy można było wskazać z pewnością do dziesięciu centymetrów.

Winien był program firmy należącej do Volkswagena

Każdy użytkownik samochodu, jeżeli chce mieć pełen wybór możliwości dostępnych przez ich samochód, potrzebuj pobrać aplikację. To właśnie w niej, burmistrz niemieckiego miasta Tostedt, zwróciła uwagę na ilość danych zbieranych przez firmę. Ze względu na jej funkcję, zaczęło ją to niepokoić. Jej podobnych osób jest wiele i niezależnie czy jest to stanowisko publiczne, czy nie, fakt pozostawał ten sam. Aplikacja zbierała dane o dokładnym położeniu. Drążenie tematu doprowadziło do ujawnienia błędów, które mogły zostać wykorzystane przez niepowołane osoby.

Czytaj dalej poniżej

Hybrydowy Lexus ES 300h czy Audi A5 TDI, też z hybrydą? Dwa pomysły na premium, zupełnie różne Tomasz Niechaj

Tesla najlepsza? Model Y Long Range RWD: najniższe zużycie i największy zasięg. Test Tomasz Niechaj

Jak informuje der Spiegel, okazało się, że przeciek został odnaleziony w firmie należącej do grupy, Cariad. Jest ona odpowiedzialna właśnie za stworzenie programu, którego luka umożliwiała dostęp do domeny, na której — przy odrobinie wiedzy hackerskiej — można było odnaleźć konsolę do debugowania i pobrać klucze dające dostęp do amazonowych zasobów używanych przez Volkswagena. Potem już wystarczyło poszperać, aby pobrać terabajty danych użytkowników aplikacji. Błąd został szybko zgłoszony i Cariad zapewnia, że nikt niepowołany nie uzyskał dostępów do zgromadzonych informacji.

Samochody wiedzą o użytkownikach niepotrzebnie wiele

Cariad natychmiast po otrzymaniu informacji o zagrożeniu, przystąpiła do jego łatania, co jest godne pochwały, gdyż nie firma nie marnowała czasu na odbijanie zarzutu. Muszą zaś popracować nad kontaktem z prasą, bo ich odpowiedź jest "lekko" oburzająca. Na prośbę o komentarz wysłaną przez Spiegela, parafrazując, odpowiedziano, że użytkownicy nie muszą się niczym przejmować. I chociaż jest to w gruncie rzeczy prawda, to sama możliwość konsekwencji, które mogły mieć miejsce, zasługuje na coś więcej niż to, co otrzymano.

Tym bardziej że w obecnych czasach, samochody gromadzą zaskakująco wiele informacji. Nie tylko wiele, lecz w zasadzie biorą, co tylko się da wyciągnąć z użytkownika. Testy wykonane przez fundację Mozilla, zmusiły recenzujących do wystawienia najgorszej kategorii *Pivacy Not Included (prywatność nie jest dodana do produktu). Dla przykładu, w kwestii Tesli, ostrzega się dosłownie ze względu na wszystko, gdyż samochody tej firmy zagrażają prywatności pod kątem AI, zabezpieczeń czy użycia zbieranych danych. Tym bardziej przykład Volkswagena jest szalenie alarmujący. Skoro przez kilka miesięcy nie odkryto luki, to co gdyby znajdowały się tam groźniejsze informacje i jednak, by je pozyskał ktoś groźny?