ÖZET
- 800.000 Volkswagen Grubu EV’sine ait hassas veriler, güvenli olmayan bir bulut sunucusunda açığa çıktı.
- Bir ihbarcı tarafından keşfedilen veri sızıntısı, GPS verilerini ve araç durumunu içeriyordu ve araç sahibinin takibini mümkün kılıyordu.
- Etkilenen kullanıcılar arasında politikacılar, polis ve istihbarat çalışanları yer alıyordu ve çoğu araç Avrupa’da bulunuyordu.
- Veri sızıntısı kişisel rutinleri ve yerleri ortaya çıkararak ciddi gizlilik riskleri oluşturdu.
- Sorun, Cariad’ın sisteminin yanlış yapılandırılmasından kaynaklandı ve o zamandan beri bu sorun giderildi.
Alman haber kaynağı Spiegel’in yakın tarihli bir raporu, yüz binlerce Volkswagen Grubu elektrikli araç sahibini etkileyen önemli bir güvenlik ihlalinin ortaya çıktığını ortaya çıkardı. Soruşturma, aralarında Volkswagen, Audi, SEAT ve Skoda’nın da bulunduğu 800.000 araca ait hassas konum verilerinin aylarca güvenli olmayan bir bulut sunucusunda açıkta kaldığını ortaya çıkardı.
Güvenlik açığı, kimliği bilinmeyen bir ihbarcı tarafından keşfedildi ve önde gelen bir Avrupa hacker derneği olan Chaos Computer Club’a (CCC) bildirildi. Bu ifşa, GPS koordinatları ve araç durumu dahil olmak üzere, güvenli olmayan bir Amazon bulut sunucusunda depolanan VW ID.3 ve ID.4 sahipleri hakkında ayrıntılı bilgiler de dahil olmak üzere kişisel verileri içeriyordu. Bu, doğru bilgi birikimine sahip herkesin, etkilenen sahiplerin hareketlerini ve alışkanlıklarını takip etmesine olanak sağladı.
Bildirildiğine göre, etkilenen elektrikli araçlar dünya çapında bulunuyordu ve çoğunluğu Almanya ve Avrupa’nın diğer bölgelerinde bulunuyordu. Etkilenen araç sahipleri arasında yalnızca sıradan vatandaşlar değil, aynı zamanda Alman politikacılar, polis memurları ve hatta şüpheli istihbarat servisi çalışanları gibi önde gelen kişiler de yer alıyor; tıpkı Ekim 2023’te üçüncü taraf bir yüklenicinin 500.000’den fazla İrlanda Polisi aracına el konulan kaydını ifşa ettiği gibi.
Bu teşhir, basit araç konum takibinin çok ötesine uzanıyordu. Araştırmacılar, araç verilerini diğer kişisel bilgilerle ilişkilendirerek, etkilenen araç sahiplerinin günlük yaşamlarına dair benzeri görülmemiş bilgiler elde edebildiler.
Örneğin Spiegel’in raporuna göre, iki Alman siyasetçinin hareketlerini endişe verici bir hassasiyetle takip edebildi, huzurevi ve askeri kışlalar da dahil olmak üzere çeşitli yerlerde konumlarını tespit edebildi ve bir belediye başkanının arabasıyla profilini çıkararak işyerindeki hareketlerini takip edebildi. fizyoterapistine.
Hepsi bu değil! Spiegel, Amazon bulut depolama alanında, 460.000 aracın kesin konumu da dahil olmak üzere, sahiplerinin önemli ayrıntılarını ortaya çıkarabilecek terabaytlarca veri keşfetti. Ayrıca veriler, Hamburg polis teşkilatının elektrikli arabaları, politikacıları, iş dünyası liderleri, Federal Akıllı Hizmetler çalışanları ve ABD Hava Kuvvetleri’nin Ramstein Hava Üssü sürücüleri hakkında da bilgiler içeriyordu.
Bu güvenlik hatasının kökü Volkswagen Grubu’nun yazılım bölümü Cariad’da yatmaktadır. Şirket, sistemlerindeki yanlış yapılandırmanın hassas verilere yetkisiz erişime izin verdiğini doğruladı.
Cariad, hiçbir mali veya kişisel kimlik bilgisinin tehlikeye atılmadığı konusunda ısrar etse de, ifşa edilen konum verilerinin kötüye kullanılması potansiyeli ciddi bir tehdit olmaya devam ediyor. Siber suçlular bu bilgileri hedefli takip, şantaj ve hatta fiziksel saldırılar dahil olmak üzere çeşitli kötü amaçlarla kullanabilir.
CCC derhal Aşağı Saksonya Eyaleti Veri Koruma Görevlisi, Federal İçişleri Bakanlığı ve diğer güvenlik kurumlarıyla temasa geçti ve VW Group ile Cariad’a konuyu halka açılmadan önce ele almaları için 30 gün süre verdi. Cariad’ın teknik ekibi, müşteri verilerine yetkisiz erişimi derhal ve sorumlu bir şekilde engelledi.
İLGİLİ KONULAR
- Cicada3301 Fidye Yazılımı Fransız Peugeot Bayisini Etkiledi
- Akaryakıt Sektörü Yazılım Sağlayıcısı SSN’leri ve PII Verilerini Açıkladı
- Builder.ai Veritabanı 1,29 TB Güvenli Olmayan Kaydı Ortaya Çıkardı
- Microsoft Power Pages Dünya Çapında Milyonlarca Kaydı Ortaya Çıkarıyor
- Kasko Sigortası Devi AA’nın 13 GB Verisi İnternet’te Ortaya Çıktı