Volkswagen випадково злив в інтернет дані понад 800 тисяч користувачів свого додатка

Автоконцерн Volkswagen опинився в центрі скандалу через витік даних 800 тисяч користувачів. У відкритому доступі опинилася інформація про рух їх електрокарів, контактні дані власників та навіть адреси їхніх паркувань. Про що йдеться у розслідуванні Spiegel.

Додаток Volkswagen потрібен, щоб перевірити заряд батареї та запас ходу. Без нього не вийде повністю користуватися всіма функціями машини. Програма збирала і передавала виробнику GPS-дані про місце паркування щоразу, коли вимикали двигун. Так створювався детальний профіль руху кожного електромобіля. Ці дані й опинились у публічному доступі, як про користувачів у Німеччині, так і по всьому світу, у тому числі й в Україні.

Кілька терабайтів даних про електрокари, зокрема VW, Seat, Audi і Skoda, залишалися незахищеними у хмарному сховищі Amazon протягом кількох місяців. Дані містили імена, контакти водіїв, а для 460 000 авто – точні координати їхнього місцеперебування. У половини постраждалих, зокрема власників VW ID.3 і ID.4, дані дуже детальні. Вони показують, коли й де вмикали чи вимикали авто. Більшість даних з 2024 року, але є й старіші. Це дозволяло відстежувати рух і навіть робити висновки про життя власників. Усе через помилку дочірньої компанії VW Cariad.

Про витік даних стало відомо завдяки Chaos Computer Club (німецькій спільноті хакерів), які одразу передали Cariad технічні деталі проблеми. Вони також повідомили про це штаб-квартиру VW Group, інспектора із захисту даних Нижньої Саксонії, Федеральне міністерство внутрішніх справ та інші органи безпеки.

Загалом проблема була у тому, що на сайтах Cariad були доступні приховані файли, які можна було знайти, просто здогадуючись про їхні адреси. Один із файлів містив копію пам’яті внутрішньої програми Cariad, яка не мала бути у відкритому доступі. У цьому файлі легко знайшли дані доступу до хмарного сховища Amazon.

Загалом Cariad зазначила, що збирає ці дані, щоб покращувати акумулятори та програмне забезпечення електромобілів. Вони стверджували, що дані збираються у загальному вигляді й не дозволяють визначити конкретну людину чи створити профілі руху. Але на практиці це було не так.

VW — не єдиний автовиробник із проблемами безпеки даних. У 2023 році хакер Сем Каррі з командою зламали облікові записи співробітників BMW, отримали доступ до чатів Mercedes-Benz і документів про продаж. У KIA прогалини дозволяли дистанційно розблоковувати й заводити автомобілі.

Для боротьби з такими витоками інформації ЄС ухвалив Закон про дані, що набуде чинності у вересні 2025 року і гарантуватиме власникам авто більше прав на свої дані.

Нагадуємо, що «Хмарочос» писав про те, що Volkswagen оголосив про можливе закриття автозаводів у Німеччині й про кризу виробництва.

Коментарі:

*Ці коментарі модеруються відповідно до наших правил ком’юніті