Bulut Güvenliği, Yönetişim ve Risk Yönetimi, Gizlilik
Avrupa’daki Araç Sahiplerinin Kusurlu Araç Verileri ve Özel Detayları
Jayant Chakravarti (@JayJay_Tech) •
30 Aralık 2024
Volkswagen’in bir yan kuruluşundaki güvenlik sorunu, kesin konum verileri ve sahiplerinin kişisel profilleri de dahil olmak üzere, Avrupa’da yaklaşık 800.000 Volkswagen tarafından üretilen otomobilin araç bilgilerini ve sahiplik ayrıntılarını açığa çıkardı.
Ayrıca bakınız: Yeni Başlayanlar İçin SASE Mimarisi
Verilerin ifşa edilmesi, bir ihbarcının Volkswagen’in sahip olduğu otomotiv markalarına araç performansı, bilgi-eğlence ve destekli sürüş yazılımı çözümleri sağlayan Volkswagen yan kuruluşu Cariad’ın bulut depolama hesaplarında bir güvenlik açığı bildirmesinin ardından gün ışığına çıktı. Alman çokuluslu şirketi, kendi adını taşıyan markalı otomobiller üretiyor ve aynı zamanda Škoda, Audi ve Porsche’nin de sahibi.
Alman beyaz şapkalı siber güvenlik grubu Chaos Computer Club ve Der Spiegel tarafından bildirilen güvenlik açıkları, 300.000’i Almanya’da, 80.000’i Norveç’te, 68.000’i İsveç’te ve 63.000’i İsveç’te olmak üzere Avrupa çapında yüz binlerce bağlantılı arabadan toplanan verilere yaygın erişim sağladı. Birleşik Krallık. 460.000 adetlik araçların çoğunluğu Volkswagen ve şirketin İspanyol yan kuruluşu Seat tarafından üretildi.
Chaos Bilgisayar Kulübü’ndeki araştırmacılar, Cariad ile ilgili verilerin ifşa edilmesinin, Volkswagen’in Avrupa çapında yüzbinlerce araç sahibinin özel ve günlük yaşamları hakkında ayrıntılı bilgi toplamak için araç içi yazılım kullandığını ve verileri şifre koruması olmadan sakladığını ortaya çıkardığını söyledi.
Etkilenen kişiler arasında önde gelen politikacılar, borsada işlem gören büyük şirketlerin yönetim kurulu üyelerinin yanı sıra polis ve askeri yetkililer de vardı. Kesin araç konum bilgisi, Volkswagen’in araç hareketlerine, ne zaman ve nereye park edildiklerine ilişkin ayrıntıları toplamasına olanak sağladı.
Şirket, Volkswagen ID.3 ve ID.4 modelleri için araçların ne zaman ve nerede açılıp kapatıldığı, inceleme detayları ve akü şarj seviyeleri hakkında bilgi topladı. Güvenlik araştırmacıları tarafından incelenen veriler arasında Federal İstihbarat Servisi binalarına veya Ramstein, Almanya’daki ABD Hava Kuvvetleri üssüne giden veya buralardan var olan 35 Hamburg polis arabasının ve diğer araçların kesin hareketleri hakkında bilgiler yer alıyordu.
Araştırmacılar ayrıca, araç sahiplerinin bir uygulama aracılığıyla kişisel profiller oluşturmasına ve bunları araçlarına bağlamasına olanak tanıyan Volkswagen’e özel bir hizmetle ilgili bir veri dökümü de buldu. Bu bilgi, araştırmacıların e-posta adresleri veya cep telefonu numaraları gibi ayrıntıları senkronize ederek her bir aracı ilgili sahibine bağlamasını sağladı.
Beyaz şapkalı grup ve Spiegel ile iletişime geçtiğinde Cariad hızlı bir şekilde yanıt verdi ve web sitelerine kamu erişimini engelledi; verilerin açığa çıkmasını, Amazon bulut depolama sistemini bir parola ile koruyamamasından kaynaklanan bir “bulut yanlış yapılandırmasından” sorumlu tuttu.
Volkswagen ve Cariad yorum talebine yanıt vermedi.