Po výstražných stávkách proti propouštění v německých závodech Volkswagenu čelil koncern v závěru roku dalším problémům. Německý magazín Der Spiegel informoval o vážném narušení bezpečnosti ve společnosti Cariad, softwarové divize koncernu Volkswagen. Tato chyba způsobila odhalení citlivých dat o 800 000 elektromobilů, které využívaly online služby spojené s nabíjením. Koncern Volkswagen přitom prý celkově obhospodařuje 14 milionů vozidel připojených přes internetové aplikace.
Kvůli automobilkám platí hackery a kupují i zlodějské nádobíčko z internetu |
Tuto zranitelnost jako první objevil Chaos Computer Club (CCC), největší organizace etických hackerů v Evropě, a to na základě informací od whistleblowera. Klub zjistil problém 26. listopadu a bezprostředně informoval Volkswagen. Německé úřady pak daly wolsburské automobilce 30 dní na vyřešení problému, než bude vše oznámeno veřejnosti.
Terabajty informací o zákaznících bez ochrany
O co šlo? Cariad údajně nechal citlivá data od elektrických modelů volně online dostupná v nezabezpečené (údajně špatně nakonfigurované) složce cloudového úložiště Amazonu, která byla několik měsíců přístupná online. Terabajty informací o zákaznících zůstaly nechráněné, což umožnilo komukoli s malými technickými znalostmi sledovat pohyb řidičů nebo shromažďovat osobní údaje.
Ajťáci od aut mají napilno. Nařízení o kyberbezpečnosti zamíchá kartami |
Protože jednotlivá data vozidla byla pseudonymizována pro účely ochrany soukromí, museli etičtí hackeři kombinovat různé datové sady, aby přiřadili podrobnosti ke konkrétnímu uživateli. Členové organizace CCC měli přístup pouze k údajům shromážděným z vozidel, k samotným autům ale již nikoliv.
Bezpečnostní chyba postihla vozy značek Volkswagen, Audi, Seat a Škoda. Není jasné, zda byly postiženy také modely značky Cupra, Porsche a další dceřiné společnosti skupiny VW Group. V případě Cupry se to ale vzhledem k propojení se Seatem zdá pravděpodobné.
Automobilky marně bojují s pomalým a drahým vývojem softwaru |
Nejzávažnější na úniku bylo, že obsahoval kontaktní údaje a přesná místa, kde auta parkovala. Naštěstí neexistuje žádný důkaz, že by byly informace zneužity a Volkswagen tvrdí, že již chybu opravil. Naštěstí nebyla při úniku prozrazena ani hesla, ani informace o kreditních kartách jejich majitelů. K datům se prý dostal pouze Chaos Computer Club. Již samotná možnost přístupu nepovolaných osob k citlivým datům je ale přesto varující.
Poloha s přesností na deset centimetrů
Únik rovněž odhalil, že více než 450 000 aut bylo možné sledovat s velkou přesností. V případě modelů VW a Seat byla tato geodata s přesností na deset centimetrů, u vozů Audi a Škoda pak jen na deset kilometrů. Mezi postiženými vozy bylo i 35 policejních elektromobilů z Hamburku, vozidla politiků, ale i ta používaná zpravodajskými službami. Informace odhalily pravidelné zastávky u sídla německé zpravodajské služby BND nebo na americké letecké základně Ramstein.
Auto vás zná líp než vy sám. Ví, kdy jezdíte k milence a kam cvičit |
Společnost Cariad reagovala během několika hodin a poděkovala CCC za jeho práci. Mluvčí CCC Linus Neumann poté ocenil softwarovou firmu VW: „Technický tým Cariad reagoval rychle, důkladně a zodpovědně.“
Většina z 800 000 postižených aut se nacházela v Německu (300 000), a další pocházeli z Norska (80 000), Švédska (68 000), Velké Británie (63 000), Nizozemska (61 000), Francie (53 000), Belgie (68 000), Dánska (35 000), Švýcarska (11 000) a také Rakouska. O České republice se žádná ze zpráv v tisku nezmiňuje a zástupci tuzemské značky se k podobným věcem nevyjadřují.
„Značky koncernu Volkswagen shromažďují, ukládají, předávají a používají osobní údaje výhradně v rámci právních předpisů a existujícího smluvního vztahu, oprávněných zájmů nebo výslovného souhlasu zákazníka,“ říkají zástupci společnosti Cariad.
Německý hacker útočí na tesly, umí je částečně ovládat na dálku |
Data shromážděná z vozidel jí prý pomáhají „poskytovat, vyvíjet a zlepšovat digitální funkce“ pro její zákazníky a také vytvářet další výhody. „Bez těchto dat by nebylo možné poskytovat, optimalizovat nebo rozšiřovat chytré, digitální a personalizované funkce“, tvrdí Cariad. To je jistě pravda, ale podobné kauzy rozhodně nepřispívají k důvěře k připojeným vozidlům.
Auta sbírají přesná geolokační data
Německý magazín Der Spiegel v návaznosti na zjištění úniku dat od Cariadu sestavil tým IT expertů a novinářů, kteří pomocí volně dostupného softwaru našli podrobnosti o poloze shromážděné z koncernových aut dvou německých politiků, Nadji Weippertové a člena Bundestagu Markuse Grübela. Zjistili, kdy Grübelovo auto parkovalo před domovem důchodců, kde bydlí jeho otec, ale z údajů o jeho autě zjistili i podrobnosti z jeho dovolené.
Nadja Weippertová, starostka města Tostedt v Dolním Sasku, sama při využívání aplikace, kterou si musela stáhnout, aby mohla používat vzdálenou funkci svého Volkswagenu ID.3, zjistila, že sbírá přesná geolokační data pokaždé, když se auto vypne, a vytváří podrobný pohybový profil jejích každodenních aktivit.
Problém s nedostatečně zabezpečenými daty ale nemají jen automobilky. Občas i nějaká instituce oznámí, že ji unikla data. Loni byli v nejistotě například uživatelé tuzemské aplikace eDoklady, jejíž součástí je elektronická verze občanky. Osobní data uživatelů se totiž dostala na zahraniční server. Šlo o chybu dodavatele, kdy se s technickými daty, která pomáhala odstraňovat chyby v aplikaci, odesílala neplánovaně i další. Naštěstí se údajně jednalo o anonymizovaná data.
K otevření a nastartování kie stačilo hackerům půl minuty a espézetka |
Je se třeba smířit, že v dnešní elektronické době již neexistuje soukromí. Ostatně telefonní operátor má přehled o tom, kde se pohybujete, a na sociální sítě navíc lidé dobrovolně umisťují i ty nejintimnější údaje ze svého soukromí, včetně informací, kde zrovna jsou, či, kdy jedou na dovolenou.