德国大众(Volkswagen,VW)汽车集团因旗下软件公司Cariad一个应用配置不当,导致多个品牌数十万车主云计算数据库可从外部访问而有外流风险。但大众汽车表示并没有数据被窃取的迹象。
德国媒体明镜(Spiegel)报道,非营利白帽黑客组织Chaos Computer Club(CCC)是获得消息人士爆料进行测试确认后,再分别通报Cariad及大众。大众集团指出,CCC是于2024年11月26日通知该公司,Cariad后端系统API存在问题,致使任何人都可以从外部网络访问到客户资讯,如果他们取得网址的话。
报道先是引述Cariad官方说法,CCC的安全研究人员先是获知内部2个IT应用配置不当的漏洞,使其得以绕过安全措施而访问车主数据库,但该公司声称,由于数据库内使用假名,即使是专家也要一点工夫才能拼凑出车主真实数据。
不过明镜周刊与数字安全专家证明并没有这么困难。他们利用开源工具就能从曝光的Cariad系统找到凭证,循线访问Cariad内部应用的内存内容,再由其中挖掘出AWS上车主数据库的访问密钥。最后,他们看到这个AWS数据库存储了VW、Seat、Audi和Skoda等车款的超过80万车主的个人信息,VW及Seat车款甚至有精确到以厘米计的定位资讯。
以车主身份而言,80万车辆中,有46万车子定位资讯外流。而近半车主是德国人,其中有30辆车子属于汉堡市警局,还有一些属于情报机关员工,车主还有至少2名德国政治人物。其他车主国籍包含英国、法国、比利时、荷兰和丹麦及挪威。
Cariad公司对媒体指出,这批资讯只影响联网,且有注册线上服务的车辆。大众汽车则明确指出,API问题影响激活线上功能及连接云计算的Audi Q4 e-tron和Q6 e-tron。可能曝险的数据包含主要用户姓名、昵称、电子邮件、用户ID、VIN以及停车的位置,以及特定事件(里程、气候、警示消息等)。支付或银行资讯、密码等敏感资讯未包含在内。
尽管曝险的数据很敏感,这家汽车大厂说,没有证据显示CCC以外还有别人曾经访问该API,且CCC也明确表示没有数据外流。Cariad及大众都说问题已经解决,客户也不必变更密码或任何访问码。
这是大众汽车今年第二度曝光的安全事件。2024年4月,报道指出大众汽车在2010年到2015年间疑似遭中国黑客入侵,后者访问了近2万份和电动汽车有关的敏感文件。
