HackerNews 编译,转载请注明出处:
近日,大众汽车集团旗下的软件子公司Cariad遭遇了一起数据泄露事件,起因于公司内部两款IT应用的配置错误,导致约80万辆电动车的敏感数据被意外暴露。这些数据中包含了车主的姓名以及车辆的精确位置信息,这些信息被储存在未受充分保护的亚马逊云存储服务中长达数月时间,任何掌握基本技术知识的人都有可能追踪车主行踪或窃取个人私密信息。
涉及的车辆品牌包括大众、Seat、奥迪和斯柯达,部分车辆的定位信息精确到了厘米级别。
对此,Cariad的一位发言人指出,这次数据泄露的根源在于公司内部两款IT应用程序的配置失误。幸运的是,欧洲知名的道德黑客组织Chaos Computer Club(CCC)通过一名举报人在11月26日发现了这一安全隐患。经过测试验证后,CCC迅速向Cariad及大众集团通报了情况,并提供了详尽的技术分析报告。
据Cariad透露,此次数据泄露事件仅波及那些已注册在线服务并与互联网相连的车辆。研究人员发现,约有46万辆车的地理位置信息被泄露,其中部分数据的精度高达10厘米。更令人震惊的是,泄露的数据中还包含了30多辆汉堡警方巡逻车及疑似情报部门人员所用车辆的信息。
尽管泄露规模庞大,但Cariad强调指出,CCC的黑客团队为了获取这些数据,不得不绕过多重安全机制,并投入大量时间和技术资源。此外,为保护用户隐私,车辆数据在存储前已经过伪匿名化处理,黑客需要跨越多个数据集进行复杂关联分析,才能锁定具体用户身份。
然而,《明镜周刊》的一支由IT专家和记者组成的团队,利用免费软件成功追踪到了两名德国政客——Nadja Weippert和德国联邦议员Markus Grübel——的车辆位置信息。他们发现了Cariad内部应用的一个内存转储副本,其中包含了访问亚马逊云存储的密钥,而这些存储实例中保存了从大众集团车辆收集的数据。
在CCC报告当日,Cariad的安全团队立即采取行动,关闭了数据访问权限,并获得了CCC的积极评价,认为其技术团队反应迅速、全面且富有责任感。Cariad的调查结果显示,除CCC外,没有发现其他第三方访问或滥用泄露数据的迹象。同时,CCC仅能访问车辆数据,而无法对车辆进行任何控制操作。
Cariad强调,大众集团品牌客户有权自主决定是否同意处理其个人数据,并可以随时停用该功能。尽管如此,Cariad表示,收集这些数据是为了向客户提供、优化和扩展数字化服务。例如,匿名化的充电行为数据有助于改进未来的电池技术和充电软件。同时,所有数据均以保护客户身份和行踪安全的方式存储在云端。
Cariad声明称,大众集团在合法框架及现有合同关系的基础上收集、存储、传输和使用个人数据,并严格遵循正当利益原则或客户的明确同意。此外,公司还采取了严密的数据保护措施,包括数据点的分离存储、访问权限的严格限制、伪匿名化及匿名化处理,以及根据声明的目的进行数据聚合和处理。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
