严重漏洞，数十万大众电动车主数据可能遭到泄漏

图片

事件概览

- 800,000 辆 Volkswagen Group 电动汽车的敏感数据在不安全的云服务器上暴露。

- 举报人发现的数据泄露包括 GPS 数据和车辆状态，从而可以跟踪车主。

- 受影响的用户包括政治家、警察和情报人员，其中大多数车辆位于欧洲。

- 数据泄露泄露了个人的日常活动和位置，构成了严重的隐私风险。

- 该问题源于 Cariad 的系统配置错误，此后已得到解决。

德国新闻媒体 Spiegel 最近的一篇报道揭示了一个重大的安全漏洞，影响了数十万大众汽车集团的电动汽车车主。调查发现，800,000 辆汽车的敏感位置数据，包括来自大众、奥迪、西雅特和斯柯达的车辆，在不安全的云服务器上暴露了数月。

该漏洞由匿名举报人发现，并报告给欧洲著名的黑客协会 Chaos Computer Club （CCC）。暴露包括个人数据，包括 GPS 坐标和车辆状态，存储在不安全的亚马逊云服务器上的大众 ID.3 和 ID.4 车主的详细信息。这使得任何具有正确专业知识的人都可以跟踪受影响业主的行踪和习惯。

据报道，受影响的电动汽车遍布世界各地，其中大部分位于德国和欧洲其他地区。受影响的车主不仅包括普通公民，还包括德国政治家、警察等知名人士，甚至包括疑似情报部门雇员，就像 2023 年 10 月一样，当时第三方承包商曝光了超过 500,000 份爱尔兰警车扣押记录。

这种暴露远远超出了简单的车辆位置跟踪。通过将车辆数据与其他个人信息相关联，研究人员能够对受影响车主的日常生活进行随时随地的跟踪。

例如，根据《明镜周刊》的报告，它能够以惊人的精度追踪两名德国政治家的行踪，精确定位他们在包括养老院和军营在内的不同地点的位置，并分析一位市长的汽车，跟踪她从工作地点到物理治疗师的行踪。

这还不是全部！Spiegel 在 Amazon 云存储上发现了数 TB 的数据，包括 460,000 辆车的精确位置，这些数据可以揭示车主的关键细节。此外，这些数据还包括有关汉堡警察局电动汽车、政治家、商界领袖、联邦情报服务员工和美国空军拉姆施泰因空军基地司机的信息。

这种安全故障的根源在于 Volkswagen Group 的软件部门 Cariad。该公司证实，其系统中的错误配置允许对敏感数据进行未经授权的访问。

虽然 Cariad 坚称没有财务或个人身份信息受到损害，但滥用暴露的位置数据的可能性仍然是一个重大威胁。网络犯罪分子可能会利用这些信息进行各种恶意目的，包括有针对性的跟踪、勒索甚至物理攻击。

CCC 立即联系了下萨克森州数据保护官、联邦内政部和其他安全机构，并给了大众集团和 Cariad 30 天的时间来解决该问题，然后再公开。Cariad 的技术团队及时、负责任地阻止了对客户数据的未经授权的访问。