Závažnost úniku dat odhalil německý Chaos Computer Club (CCC), největší evropská organizace etických hackerů. Ti zjistili, že mezi postiženými vozy jsou modely značek VW, Seat, Audi a Škoda z několika evropských zemí. U 460 000 vozů byly k dispozici velmi přesné údaje o poloze, v některých případech s přesností na 10 centimetrů.
„Problém není jen v tom, že tato data byla vůbec shromažďována a ukládána po tak dlouhou dobu. Že byla navíc špatně chráněna, tomu nasazuje korunu,“ uvedl Linus Neumann, mluvčí CCC.
Mohlo by vás zajímat
Přesné sledování pohybu – u Škody jen na kilometry
Mezi postiženými vozidly bylo například 35 policejních elektromobilů z Hamburku či vozidla používaná zpravodajskými službami. Data odhalila i pravidelné zastávky u sídla německé zpravodajské služby BND nebo na americké letecké základně Ramstein.
Na příkladu dvou německých politiků - poslankyně Nadji Weippert a poslance Markuse Grübela - výzkumníci demonstrovali, jak snadno lze z dat sestavit podrobný profil jejich pohybu. „Jsem v šoku," reagovala Weippert poté, co jí byly předloženy detaily o jejích pohybech včetně návštěv lékaře či oblíbené pekárny.
Mohlo by vás zajímat
Přibližně u poloviny postižených, včetně majitelů modelů VW ID.3 a ID.4, jsou údaje obzvláště podrobné. Ukazují, kdy bylo příslušné vozidlo zapnuto a kdy a kde přesně bylo vypnuto. Většina údajů pochází z roku 2024, ale některé z nich sahají ještě dále do minulosti.
Cloudové úložiště obsahovalo data jednotlivých vozidel, která byla okamžitě rozpoznatelná podle označení stavu nabití baterie, stavu kontroly a kategorií „motor zapnutý“ a „motor vypnutý“. Poslední kategorie obsahovala vedle času také zeměpisnou délku a šířku, a tím i přesnou polohu auta při vypnutí elektromotoru. V případě modelů VW a Seat byla tato geodata přesná na deset centimetrů, u vozů Audi a Škoda na deset kilometrů, a byla tedy méně problematická.
Podle Cariadu byl únik způsoben nesprávnou konfigurací dvou IT aplikací. Společnost tvrdí, že po upozornění od CCC problém během hodin napravila. Také zdůrazňuje, že nemá důkazy o tom, že by ke kompromitovaným datům měl přístup někdo jiný než etičtí hackeři.
Mohlo by vás zajímat
Otázka bezpečnosti moderních vozů
Incident nicméně vyvolává vážné otázky o bezpečnosti dat v moderních připojených vozidlech. Podle studie nadace Mozilla z roku 2023 jsou „moderní auta noční můrou pro soukromí“ - všechny zkoumané značky sbírají více dat, než je nezbytné, a 76 % připouští možnost jejich dalšího prodeje.
Pro Volkswagen je únik mimořádně nepříjemný v době, kdy se snaží dohnat konkurenci v oblasti softwarového vývoje. Případ také ukazuje, že ani evropské firmy, které rády zdůrazňují vyšší standardy ochrany soukromí oproti americké konkurenci, nejsou imunní vůči závažným bezpečnostním selháním.
Zdroj: CCC, Bleeding Computer, Spiegel
5 foto
video
