Cariad 是大眾汽車公司的子公司,專門為德國集團的汽車開發軟體,無意中暴露了來自80萬輛電動車。幾個月來,這些資訊可以在沒有足夠保護的情況下透過線上儲存進行存取。
敲響警鐘的是世界上最大、歷史最悠久的駭客組織之一混沌電腦俱樂部(CCC)。正如大眾汽車子公司所解釋的那樣,這些數據都在“兩台電腦應用程式中的 Cariad 配置不正確”。
接到 CCC 的警報後,Cariad 立即糾正了這種情況。發現後幾個小時內,訪問就被切斷了。子公司明確表示仍有必要繞過多重安全機制在能夠查看資料之前。
另請閱讀:簡單的缺陷導致數百萬起亞汽車被駭客入侵
汽車位置和駕駛員身份
大眾、西雅特、奧迪和斯柯達品牌的汽車均受到此次洩漏的影響。該公司指出,只有連接到網路的車輛才會受到影響。暴露的數據包括司機的個人信息,例如姓名。最重要的是,暴露的錯誤精確的地理位置80萬輛汽車中的46萬輛。當電動馬達關閉時,可以以十公分的精度定位汽車。
這對用戶的機密性和隱私來說顯然是一場災難。根據德國媒體《明鏡周刊》報道,這更令人擔憂,因為可以利用 Cariad 曝光的數據推斷司機的身份。事實上,可以將多個資訊庫結合起來追溯到個人尤其。混沌計算機俱樂部的專家在警告 Cariad 之前就證明了這一點。這就是兩位德國政客的汽車的辨識方式。數據允許“對駕駛者的生活得出結論”,斯皮格爾遺憾地指出了間諜活動的風險。
法國司機擔心
大多數受影響的汽車都在德國。然而,數據曝光的車輛超過5萬輛屬於法國司機。超過 60,000 輛受影響的汽車在比利時流通。受影響的車輛中有約 30 輛來自漢堡警察車隊。一些車輛被德國情報人員使用。
好消息是,Cariad 尚未發現任何證據表明網路犯罪分子知道網路上暴露的數據。因此,沒有任何跡象表明該資訊落入惡意者之手。在此刻,“除了 CCC 之外,沒有人訪問過這些系統,我們沒有任何跡象表明數據被第三方濫用。”
然而,Cariad 發現自己受到了批評。該子公司被指控收集太多數據其客戶。這家德國公司為自己辯護並保證“大眾汽車集團品牌僅在法律法規和現有合約關係、合法利益或客戶明確同意的框架內收集、存儲、傳輸和使用個人資料”。此外,客戶可以決定“使用或不使用需要處理個人資料的產品和服務”。最後,“所有具有在線功能的車輛都可以隨時停用收集”,愛情的結局。
來源 : 明鏡
