Из-за неправильной настройки облачного хранилища Amazon данные оставались незащищенными в течение нескольких месяцев. В результате злоумышленники могли получить доступ к геолокации автомобилей с точностью до нескольких сантиметров, а также к личной информации водителей.
Информация касалась владельцев автомобилей марок Volkswagen, Audi, Seat и Skoda. Особую обеспокоенность вызвало то, что данные включали подробные координаты местоположения автомобилей, включая долготу и широту при выключении электродвигателя.
Уязвимость была обнаружена Chaos Computer Club (CCC) — крупнейшей в Европе организацией этичных хакеров. Сообщается, что они получили информацию от инсайдера, протестировали доступ и передали Cariad технические детали уязвимости. CCC отмечает, что команда безопасности компании отреагировала оперативно, устранив проблему в день получения уведомления.
Как сообщается, около 460 000 автомобилей имели доступные геоданные. Среди них были машины сотрудников полиции Гамбурга, предполагаемых сотрудников спецслужб, а также немецких политиков, включая Надю Вайперт и Маркуса Грюбеля.
Взлом стал возможен из-за памяти, оставшейся в одном из приложений Cariad. В дампе содержались ключи доступа к облаку, где и хранились данные клиентов. Это позволило получить доступ к координатам, а также другим деталям, таким как местоположение избранных зарядных станций.
Cariad подчёркивает, что взлом потребовал обхода нескольких уровней защиты. Псевдонимизация данных затрудняла их связывание с конкретными пользователями, но специалисты Spiegel и CCC смогли объединить разрозненные данные для идентификации некоторых водителей.
Большинство затронутых автомобилей находились в Германии (300 000), но данные также касались машин в Норвегии, Швеции, Великобритании, Нидерландах, Франции, Бельгии и Дании. В компании заверяют, что утечка не затронула управление автомобилями, а доступ к данным получили только специалисты CCC.
Volkswagen подчёркивает, что сбор данных помогает в разработке цифровых функций и улучшении зарядного оборудования, а клиенты имеют возможность отключить сбор данных в любой момент. Однако инцидент ясно показал, что даже инновационные системы защиты не застрахованы от элементарных ошибок в безопасности.