Cụ thể, theo Bleepingcomputer, hàng terabyte thông tin chi tiết về khách hàng Volkswagen trong kho lưu trữ đám mây của Amazon đã không được bảo vệ đúng cách trong nhiều tháng, cho phép bất kỳ ai có ít kiến thức kỹ thuật cũng có thể theo dõi chuyển động của tài xế hoặc thu thập thông tin cá nhân.
Các cơ sở dữ liệu được tiết lộ bao gồm thông tin chi tiết về các loại xe VW, Seat, Audi và Skoda, trong đó dữ liệu định vị địa lý của một số xe có độ chính xác chỉ vài cm.
Một đại diện của công ty cho biết với BleepingComputer rằng việc truy cập dữ liệu xe hơi có thể thực hiện được là do Cariad đã cấu hình không chính xác trong hai ứng dụng CNTT.
Cariad đã được Chaos Computer Club thông báo về vấn đề này vào ngày 26/11, đây là tổ chức tin tặc đạo đức lớn nhất châu Âu, nơi đã thúc đẩy bảo mật, quyền riêng tư và quyền truy cập thông tin miễn phí trong hơn 30 năm qua.
Theo ấn phẩm Spiegel của Đức của Đức, CCC đã phát hiện ra lỗ hổng bảo mật này từ một người tố giác và đã kiểm tra quyền truy cập không an toàn trước khi thông báo cho Cariad và Volkswagen chịu trách nhiệm và cung cấp thông tin chi tiết kỹ thuật.
Trong tuyên bố gửi tới BleepingComputer, đại diện của Cariad cho biết dữ liệu bị lộ chỉ ảnh hưởng đến những xe được kết nối internet và đã được đăng ký dịch vụ trực tuyến.
Trong số gần 800.000 xe được phát hiện, các nhà nghiên cứu đã tìm thấy dữ liệu vị trí địa lý của 460.000 xe, một số xe có độ chính xác tới 10 cm.
Spiegel cho biết có hơn 30 chiếc xe thuộc đội xe tuần tra của cảnh sát Hamburg, trong khi những chiếc khác thuộc về những nhân viên tình báo bị tình nghi.
Công ty cho biết tin tặc CCC chỉ có thể truy cập dữ liệu sau khi vượt qua một số cơ chế bảo mật đòi hỏi nhiều thời gian và chuyên môn kỹ thuật.
Ngoài ra, vì dữ liệu xe riêng lẻ được ẩn danh vì mục đích riêng tư nên tin tặc phải kết hợp các tập dữ liệu khác nhau để liên kết thông tin chi tiết với một người dùng cụ thể.
Tuy nhiên, Spiegel đã tập hợp một nhóm chuyên gia CNTT và nhà báo để tìm ra thông tin chi tiết về vị trí được thu thập từ xe của hai chính trị gia người Đức, Nadja Weippert và thành viên Bundestag Markus Grübel, bằng phần mềm có sẵn miễn phí.
Các công cụ này đã tìm kiếm các tài sản Cariad bị lộ có chứa các tệp chứa thông tin nhạy cảm, dẫn đến việc tìm thấy bản sao của bản sao lưu bộ nhớ từ ứng dụng Cariad nội bộ.
Bên trong bản sao lưu bộ nhớ, tin tặc đã phát hiện ra khóa truy cập vào một phiên bản lưu trữ đám mây trên Amazon, nơi Cariad lưu trữ dữ liệu thu thập được từ các xe của khách hàng Volkswagen Group.
Spiegel đưa tin rằng một số điểm dữ liệu liên quan đến vị trí kinh độ và vĩ độ của ô tô khi động cơ điện tắt.
Phần lớn các xe bị ảnh hưởng, trong đó có 300.000 xe, đều ở Đức nhưng các nhà nghiên cứu cũng tìm thấy thông tin chi tiết về những chiếc xe ở Na Uy (80.000), Thụy Điển (68.000), Vương quốc Anh (63.000), Hà Lan (61.000), Pháp (53.000), Bỉ (68.000) và Đan Mạch (35.000).
Cariad nói với BleepingComputer rằng nhóm bảo mật của họ đã phản ứng nhanh chóng để khắc phục sự cố và đóng quyền truy cập vào cùng ngày CCC gửi cho họ báo cáo.
Đại diện CCC xác nhận với Spiegel rằng "đội ngũ kỹ thuật của Cariad đã phản hồi nhanh chóng, toàn diện và có trách nhiệm" và rằng công ty đã phản ứng trong vòng vài giờ sau khi nhận được thông tin chi tiết kỹ thuật.
Dựa trên kết quả điều tra, Cariad không có bằng chứng nào cho thấy các bên khác, ngoại trừ tin tặc CCC, đã truy cập vào dữ liệu xe bị lộ hoặc thông tin đã bị bên thứ ba sử dụng sai mục đích.
Công ty cũng nhấn mạnh rằng CCC chỉ có quyền truy cập vào dữ liệu thu thập được từ các xe và không thể truy cập vào chính những chiếc xe đó.
Cariad cho biết khách hàng của các thương hiệu thuộc Tập đoàn Volkswagen có thể đồng ý sử dụng các sản phẩm và dịch vụ yêu cầu xử lý dữ liệu cá nhân và có thể hủy kích hoạt tùy chọn này bất kỳ lúc nào.
Tuy nhiên, công ty lưu ý rằng dữ liệu thu thập được từ các phương tiện giúp công ty "cung cấp, phát triển và cải thiện các chức năng kỹ thuật số" cho khách hàng cũng như tạo ra các lợi ích bổ sung.
Thành Đô
