Данные о поездках 800 000 немецких автомобилей забыли зашифровать

Подключённые к интернету автомобили — это нормально в наши дни. Но лишь до тех пор, пока кто-нибудь не обнаружит во всемирной паутине незашифрованные данные о геолокации. А сделать это, как оказалось, может кто угодно.


Угроза не предполагаемая, ведь такой конфуз уже приключился с более чем 800 000 электромобилей, выпущенных автоконцерном Volkswagen Group (далее — VW). Известны и виновники — это сотрудники компании Cariad, которой автопроизводители доверили создавать программное обеспечение для транспорта. В облачном хранилище данных Amazon запросто оставили несколько терабайт незащищённых данных!

По сообщениям веб-портала Motor1, некий дотошный информатор сообщил журналистам немецкого издания Der Spiegel и группе хакеров Chaos Computer Club о «наготе» при хранении информации. Затем сотрудники «Дер Шпигель» и хакеры удосужились провести поверхностный анализ вываленных в интернет данных, так что сумели выявить принадлежность отдельных авто, то есть узнать имена владельцев.

Например, уязвимость в системе безопасности позволила аналитикам с пугающей точностью отследить местоположение двух немецких политиков. Так, член Комитета обороны Германии приезжал в дом престарелых к своему отцу и в военные казармы.

После обескураживающего открытия интернет-исследователей программисты из Cariad устранили уязвимость, которая позволяла получать данные об использовании автомашин под брендами Škoda, Audi и Seat, а также сведения о владельцах электромобилей VW ID.3 и ID.4.

Комплекс легкодоступных данных также содержал точные сведения о местоположении 460 тыс. машин, по которым, отметили в Der Spiegel, можно было начертить пунктир жизни согласно поездкам автовладельцев.

По информации, собранной журналистами, в незадачливой компании Cariad объяснили дыру в безопасности «неправильными настройками». Естественно, растяпы поспешили обнадежить, что нет никаких признаков того, что кто-либо, кроме сотрудников медиа и представителей некриминальной хакерской группы, успел добраться до незащищённых данных.