Zpět

Automobilky shromažďují informace o majitelích jimi vyrobených aut, a mnohdy to bohužel dělají bez potřebného zabezpečení. V plné nahotě to opět ukázal čerstvý případ koncernu Volkswagen, kdy jeho softwarová divize Cariad uložila data od 800 000 elektromobilů značek VW, Audi, Seat a Škoda na volně přístupný cloudový server Amazonu.

Po výstražných stávkách proti propouštění v německých závodech Volkswagenu čelil koncern v závěru roku dalším problémům. Německý magazín Der Spiegel informoval o vážném narušení bezpečnosti ve společnosti Cariad, softwarové divize koncernu Volkswagen. Tato chyba způsobila odhalení citlivých dat o 800 000 elektromobilů, které využívaly online služby spojené s nabíjením. Koncern Volkswagen přitom prý celkově obhospodařuje 14 milionů vozidel připojených přes internetové aplikace.

Tuto zranitelnost jako první objevil Chaos Computer Club (CCC), největší organizace etických hackerů v Evropě, a to na základě informací od whistleblowera. Klub zjistil problém 26. listopadu a bezprostředně informoval Volkswagen. Německé úřady pak daly wolsburské automobilce 30 dní na vyřešení problému, než bude vše oznámeno veřejnosti.

Terabajty informací o zákaznících bez ochrany

O co šlo? Cariad údajně nechal citlivá data od elektrických modelů volně online dostupná v nezabezpečené (údajně špatně nakonfigurované) složce cloudového úložiště Amazonu, která byla několik měsíců přístupná online. Terabajty informací o zákaznících zůstaly nechráněné, což umožnilo komukoli s malými technickými znalostmi sledovat pohyb řidičů nebo shromažďovat osobní údaje.

Protože jednotlivá data vozidla byla pseudonymizována pro účely ochrany soukromí, museli etičtí hackeři kombinovat různé datové sady, aby přiřadili podrobnosti ke konkrétnímu uživateli. Členové organizace CCC měli přístup pouze k údajům shromážděným z vozidel, k samotným autům ale již nikoliv.

Bezpečnostní chyba postihla vozy značek Volkswagen, Audi, Seat a Škoda. Není jasné, zda byly postiženy také modely značky Cupra, Porsche a další dceřiné společnosti skupiny VW Group. V případě Cupry se to ale vzhledem k propojení se Seatem zdá pravděpodobné.

Nejzávažnější na úniku bylo, že obsahoval kontaktní údaje a přesná místa, kde auta parkovala. Naštěstí neexistuje žádný důkaz, že by byly informace zneužity a Volkswagen tvrdí, že již chybu opravil. Naštěstí nebyla při úniku prozrazena ani hesla, ani informace o kreditních kartách jejich majitelů. K datům se prý dostal pouze Chaos Computer Club. Již samotná možnost přístupu nepovolaných osob k citlivým datům je ale přesto varující.

Poloha s přesností na deset centimetrů

Únik rovněž odhalil, že více než 450 000 aut bylo možné sledovat s velkou přesností. V případě modelů VW a Seat byla tato geodata s přesností na deset centimetrů, u vozů Audi a Škoda pak jen na deset kilometrů. Mezi postiženými vozy bylo i 35 policejních elektromobilů z Hamburku, vozidla politiků, ale i ta používaná zpravodajskými službami. Informace odhalily pravidelné zastávky u sídla německé zpravodajské služby BND nebo na americké letecké základně Ramstein.

Společnost Cariad reagovala během několika hodin a poděkovala CCC za jeho práci. Mluvčí CCC Linus Neumann poté ocenil softwarovou firmu VW: „Technický tým Cariad reagoval rychle, důkladně a zodpovědně.“

Většina z 800 000 postižených aut se nacházela v Německu (300 000), a další pocházeli z Norska (80 000), Švédska (68 000), Velké Británie (63 000), Nizozemska (61 000), Francie (53 000), Belgie (68 000), Dánska (35 000), Švýcarska (11 000) a také Rakouska. O České republice se žádná ze zpráv v tisku nezmiňuje a zástupci tuzemské značky se k podobným věcem nevyjadřují.

„Značky koncernu Volkswagen shromažďují, ukládají, předávají a používají osobní údaje výhradně v rámci právních předpisů a existujícího smluvního vztahu, oprávněných zájmů nebo výslovného souhlasu zákazníka,“ říkají zástupci společnosti Cariad.

Data shromážděná z vozidel jí prý pomáhají „poskytovat, vyvíjet a zlepšovat digitální funkce“ pro její zákazníky a také vytvářet další výhody. „Bez těchto dat by nebylo možné poskytovat, optimalizovat nebo rozšiřovat chytré, digitální a personalizované funkce“, tvrdí Cariad. To je jistě pravda, ale podobné kauzy rozhodně nepřispívají k důvěře k připojeným vozidlům.

Auta sbírají přesná geolokační data

Německý magazín Der Spiegel v návaznosti na zjištění úniku dat od Cariadu sestavil tým IT expertů a novinářů, kteří pomocí volně dostupného softwaru našli podrobnosti o poloze shromážděné z koncernových aut dvou německých politiků, Nadji Weippertové a člena Bundestagu Markuse Grübela. Zjistili, kdy Grübelovo auto parkovalo před domovem důchodců, kde bydlí jeho otec, ale z údajů o jeho autě zjistili i podrobnosti z jeho dovolené.

Nadja Weippertová, starostka města Tostedt v Dolním Sasku, sama při využívání aplikace, kterou si musela stáhnout, aby mohla používat vzdálenou funkci svého Volkswagenu ID.3, zjistila, že sbírá přesná geolokační data pokaždé, když se auto vypne, a vytváří podrobný pohybový profil jejích každodenních aktivit.

Problém s nedostatečně zabezpečenými daty ale nemají jen automobilky. Občas i nějaká instituce oznámí, že ji unikla data. Loni byli v nejistotě například uživatelé tuzemské aplikace eDoklady, jejíž součástí je elektronická verze občanky. Osobní data uživatelů se totiž dostala na zahraniční server. Šlo o chybu dodavatele, kdy se s technickými daty, která pomáhala odstraňovat chyby v aplikaci, odesílala neplánovaně i další. Naštěstí se údajně jednalo o anonymizovaná data.

Je se třeba smířit, že v dnešní elektronické době již neexistuje soukromí. Ostatně telefonní operátor má přehled o tom, kde se pohybujete, a na sociální sítě navíc lidé dobrovolně umisťují i ty nejintimnější údaje ze svého soukromí, včetně informací, kde zrovna jsou, či, kdy jedou na dovolenou.

 

Zdroj: idnes.cz