Volkswagen’in otomotiv yazılım şirketi Cariad, yaklaşık 800.000 elektrikli otomobilden toplanan verileri açığa çıkardı. Bilgi, sürücülerin adlarıyla ilişkilendirilebilir ve kesin araç konumlarını ortaya çıkarabilir.
Amazon bulut depolama alanındaki terabaytlarca Volkswagen müşteri bilgisi aylarca korunmasız kaldı ve bu da çok az teknik bilgisi olan herkesin sürücülerin hareketlerini izlemesine veya kişisel bilgileri toplamasına olanak tanıdı.
Açığa çıkan veritabanları VW, Seat, Audi ve Skoda araçlarına ilişkin ayrıntıları içeriyor ve bazılarının coğrafi konum verileri birkaç santimetre kadar kesin.
Hassas coğrafi konum verileri
Bir şirket temsilcisi BleepingComputer’a Cariad’ın iki BT uygulamasındaki yanlış yapılandırması nedeniyle araç verilerine erişimin mümkün olduğunu söyledi.
Cariad’a 26 Kasım’da, Avrupa’nın en büyük etik hacker organizasyonu olan ve 30 yılı aşkın süredir güvenliği, gizliliği ve bilgiye ücretsiz erişimi teşvik eden Chaos Computer Club (CCC) tarafından sorun hakkında bilgi verildi.
Alman yayın Spiegel’e göre CCC, güvenlik açığını bir ihbarcıdan öğrendi ve sorumlu Cariad ve Volkswagen’i bilgilendirip teknik ayrıntıları vermeden önce güvenli olmayan erişimi test etti.
Bir Cariad temsilcisi, BleepingComputer’a yaptığı açıklamada, ifşa edilen verilerin yalnızca internete bağlı araçları etkilediğini ve çevrimiçi hizmetlere kayıtlı olduğunu söyledi.
Araştırmacılar, açığa çıkan yaklaşık 800.000 araçtan 460.000 arabanın coğrafi konum verilerini buldu; bunların bazıları için on santimetrelik bir doğruluk söz konusu.
Spiegel, 30’dan biraz fazla aracın Hamburg polisinin devriye arabası filosunun bir parçası olduğunu, diğerlerinin ise şüpheli istihbarat servisi çalışanlarına ait olduğunu söyledi.
Şirket, CCC korsanlarının verilere ancak önemli ölçüde zaman ve teknik uzmanlık gerektiren çeşitli güvenlik mekanizmalarını atladıktan sonra erişebileceğini söyledi.
Ayrıca, bireysel araç verileri gizlilik amacıyla takma adla kullanıldığından, bilgisayar korsanlarının ayrıntıları belirli bir kullanıcıyla ilişkilendirmek için farklı veri kümelerini birleştirmesi gerekti.
Ancak Spiegel, ücretsiz olarak temin edilebilen yazılımı kullanarak iki Alman siyasetçi Nadja Weippert ve Federal Meclis üyesi Markus Grübel’in arabalarından toplanan konum ayrıntılarını bulan BT uzmanları ve gazetecilerden oluşan bir ekip oluşturdu.
Araçlar, hassas bilgiler içeren dosyalar içeren açıkta kalan Cariad varlıklarını aradı ve bu da dahili bir Cariad uygulamasından bir bellek dökümünün kopyasının bulunmasına yol açtı.
Bilgisayar korsanları, bellek dökümünün içinde Cariad’ın Volkswagen Grubu müşterilerinin araçlarından toplanan verileri kaydettiği Amazon’daki bir bulut depolama örneğine erişim anahtarları keşfetti.
Spiegel, bazı veri noktalarının, elektrik motoru kapatıldığında arabaların enlem ve boylam konumlarına atıfta bulunduğunu bildirdi.
“VW modelleri ve Koltuklar söz konusu olduğunda, bu coğrafi veriler on santimetreye kadar doğruydu ve Audis ve Skodas için on kilometreye kadar doğruydu ve bu nedenle daha az sorunluydu” – Spiegel
Etkilenen araçların çoğu (300.000’i) Almanya’daydı ancak araştırmacılar ayrıca Norveç (80.000), İsveç (68.000), Birleşik Krallık (63.000), Hollanda (61.000), Fransa (53.000), Belçika (68.000) ve Danimarka (35.000).
Sorumlu açıklamanın ardından hızlı düzeltme
Cariad, BleepingComputer’a, güvenlik ekibinin sorunu çözmek için hızlı bir şekilde harekete geçtiğini ve CCC’nin kendilerine raporu gönderdiği gün erişimi kapattığını söyledi.
CCC temsilcileri Spiegel’e Cariad’ın “teknik ekibinin hızlı, kapsamlı ve sorumlu bir şekilde yanıt verdiğini” ve şirketin teknik ayrıntıları aldıktan sonra birkaç saat içinde yanıt verdiğini doğruladı.
Soruşturmasının sonuçlarına göre Cariad’ın, CCC bilgisayar korsanları dışında başka tarafların açığa çıkan araç verilerine eriştiğine veya bilgilerin üçüncü bir tarafça kötüye kullanıldığına dair hiçbir kanıtı yok.
Şirket ayrıca CCC’nin yalnızca araçlardan toplanan verilere erişebildiğini, araçlara kendisinin erişemediğini vurguluyor.
Cariad, Volkswagen Grubu markalarının müşterilerinin, kişisel verilerin işlenmesini gerektiren ürün ve hizmetleri kullanmayı kabul edebileceklerini ve bu seçeneği istedikleri zaman devre dışı bırakabileceklerini söylüyor.
Ancak şirket, araçlardan toplanan verilerin müşterilerine “dijital işlevler sağlamasına, geliştirmesine ve iyileştirmesine” yardımcı olmanın yanı sıra ek faydalar da yarattığını belirtiyor.
“Bu veriler olmadan akıllı, dijital ve kişiselleştirilmiş işlevler sağlanamaz, optimize edilemez veya genişletilemez” – Cariad
Örnek olarak şirket, müşterilerin şarj etme davranışlarının ve alışkanlıklarının anonimleştirildiğini ve gelecekteki pil nesillerinin ve şarj yazılımının optimize edilmesine yardımcı olduğunu açıklıyor.
Aynı zamanda toplanan veriler müşterinin kimliğini ve araçla olan hareketini koruyacak şekilde bulutta saklanıyor.
Cariad, “Volkswagen Grubundaki markalar, kişisel verileri yalnızca yasal düzenlemeler ve mevcut bir sözleşme ilişkisi, meşru menfaatler veya müşterinin açık rızası çerçevesinde topluyor, saklıyor, iletiyor ve kullanıyor” diyor.
Otomotiv yazılım şirketi ayrıca, veri noktalarının ayrı ayrı saklanması, kısıtlayıcı erişim hakları, takma ad verme ve anonimleştirmenin yanı sıra verilerin belirtilen amaçlar doğrultusunda toplanması ve işlenmesini içeren güçlü veri koruma uygulamaları kullandığını da belirtiyor.