1 tydzień temu
Volkswagen, jeden z największych producentów samochodów na świecie, znalazł się w centrum poważnego incydentu związanego z naruszeniem danych. Spółka zależna Cariad, odpowiedzialna za rozwój systemu i technologii cyfrowych w grupie, przypadkowo pozostawiła otwarty dostęp do danych 800 000 samochodów elektrycznych – podaje niemiecki Spiegel.
Szczegóły wycieku
Dane pochodziły z aplikacji mobilnych, które kierowcy wykorzystują do zarządzania pojazdami dzięki telefonów. Informacje obejmowały m.in. stan naładowania akumulatorów, dane o włączonym lub wyłączonym silniku, a także lokalizację zaparkowanych pojazdów – w niektórych przypadkach z dokładnością do kilku centymetrów. Ponadto dane te można było powiązać z nazwiskami właścicieli, dyrektorów firm i zarządców flot.
Incydent został wykryty przez anonimowego informatora, który powiadomił niemieckie media oraz organizację Chaos Computer Club. Chociaż Cariad zareagował szybko, zamykając dostęp w ciągu kilku godzin, dane były publicznie dostępne przez kilka miesięcy.
Skala problemu
Naruszenie dotyczyło głównie modeli ID.3 i ID.4 Volkswagena, a także elektrycznych modeli marek Audi, Seat i Skoda. Najwięcej dotkniętych pojazdów znajdowało się w Niemczech (300 000), ale incydent obejmuje także dziesiątki tysięcy aut z Holandii, Skandynawii, Francji, Wielkiej Brytanii, Szwajcarii, Belgii i Austrii.
Przyczyna i konsekwencje
Cariad wskazuje, iż naruszenie wynikało z „niewłaściwej konfiguracji” chmury AWS, która spowodowała, iż dane były publicznie dostępne. Według spółki nie odnotowano oznak nadużyć ze strony osób trzecich ani włamań do systemów.
Mimo braku dowodów na wykorzystanie danych, incydent budzi pytania o bezpieczeństwo informacji w coraz bardziej cyfrowych pojazdach. W przeszłości podobne błędy popełniały także inne firmy, jak Toyota, która przez pięć lat pozostawiała otwarty dostęp do danych klientów.
Szerszy kontekst
Sprawa zwraca uwagę na problematyczną praktykę zarządzania danymi w branży motoryzacyjnej. Nowoczesne samochody generują ogromne ilości informacji, które mogą być komercjalizowane. Choć Cariad zapewnia, iż nie tworzy profili lokalizacyjnych, badania wskazują, iż dane samochodowe bywają sprzedawane bez zgody kierowców.
