Компания Cariad, ответственная за разработку программного обеспечения для автомобилей Volkswagen Group (марки VW, Audi, Seat и Skoda), столкнулась с масштабным инцидентом, связанным с утечкой конфиденциальных данных. В результате ошибки в настройке двух приложений, размещенных в облачном хранилище Amazon S3, были раскрыты данные о приблизительно 800 000 электромобилях. Масштаб утечки впечатляет: геолокационные данные, привязанные к конкретным владельцам автомобилей, оказались доступны посторонним. Точность определения местоположения для некоторых моделей достигала невероятных 10 сантиметров. Это значит, что злоумышленники могли отслеживать перемещения автомобилей практически в режиме реального времени, с уровнем детализации, сопоставимым с данными GPS-трекеров профессионального уровня.
Сигнал тревоги прозвучал от хакеров этической группы Chaos Computer Club (CCC). 26 ноября они обнаружили уязвимость и сообщили о ней Cariad. Это подчеркивает важность сотрудничества между специалистами по безопасности и разработчиками программного обеспечения. Быстрая реакция CCC предотвратила потенциально ещё более серьезные последствия. Однако сам факт утечки вызывает серьёзные вопросы к безопасности данных, собираемых автомобильными производителями.
Утечка затронула автомобили в разных странах Европы и за её пределами. Особую тревогу вызывает тот факт, что среди пострадавших оказались транспортные средства, принадлежащие государственным чиновникам. Это поднимает вопрос о потенциальном риске для национальной безопасности и конфиденциальности информации. Ещё более настораживает то обстоятельство, что сбор данных о местоположении продолжался даже тогда, когда автомобили были выключены. Это свидетельствует о серьёзных недостатках в архитектуре системы безопасности, позволяющей непрерывно передавать информацию, несмотря на состояние автомобиля.
Cariad отреагировала на инцидент, предприняв шаги по устранению уязвимости. Подробности принятых мер пока не разглашаются, но очевидно, что компания предприняла действия по исправлению ошибок в настройке приложений и, вероятно, усилила меры безопасности облачного хранилища. Однако одного устранения уязвимости недостаточно. Необходимо провести тщательное расследование, чтобы понять масштабы ущерба и предотвратить подобные инциденты в будущем.
Фото: @volkswagen/Instagram
