X

פרצת אבטחה ענקית בפולקסוואגן: מאות אלפים נחשפו

חוקרי אבטחה כילו כי החברה החזיקה נתונים של לפחות כחצי מיליון נהגי פולקסוואגן, סקודה, סיאט ואאודי והרגלי הנסיעות שלהם ללא כל אבטחה בשרת פתוח

Alchemiq AIמערכת feedy
, עודכן
0השמעה
לוגו פולקסוואגן בקדמת מכונית. צילום: Gerry Lauzon / flickr

פולקסווגן הודיעה כי סתמה פרצת אבטחה שחשפה מידע על מיקומם של כ-800,000 בעלי רכבים חשמליים ברחבי אירופה. חברת הבת לתוכנה של ענקית הרכב הגרמנית, Cariad, טיפלה בכשל האבטחה שהשאיר מידע רגיש חשוף באינטרנט במשך מספר חודשים.

הפגיעות, שנגרמה בשל תצורה שגויה באחד משרתי Cariad, תוקנה לאחר שהובאה לתשומת לב החברה. Cariad יידעה את כל הרשויות הלאומיות והבינלאומיות הרלוונטיות על דליפת המידע. הפרצה השפיעה על רכבים חשמליים של פולקסווגן ומותגיה, כולל אאודי, סיאט וסקודה.

פרצת האבטחה התגלתה לראשונה על ידי עיתונאים מהמגזין הגרמני "דר שפיגל" וחוקרים מ"מועדון המחשבים הכאוטי" (CCC), קבוצה מוכרת החושפת בעיות אבטחת מידע. ה-CCC יצר מיד קשר עם Cariad, אך לפני שהיא נסתמה, דר שפיגל הצליח לשחזר אותה – מה שהדגים את חומרתה.

המידע שנחשף כלל קואורדינטות מיקום של כ-460,000 רכבים ופרטי קשר של בעליהם, כגון אימיילים, מספרי טלפון וכתובות, מה שיצר סיכוני פרטיות ואבטחה ללקוחות ולרכביהם. המידע אפשר יצירת פרופילי תנועה מפורטים, שעלולים לחשוף מידע רגיש על שגרת היום של פוליטיקאים, אנשי עסקים ואנשי ביטחון.

פולקסווגן הצהירה כי הפרצה "השפיעה רק על נתונים של רכבים נבחרים שנרשמו לשירותי אינטרנט והיו להם קישוריות אינטרנט". עם זאת, הפרצה עוררה חששות רציניים בקרב האנשים שנפגעו. נדיה וייפרט, חברת פרלמנט מטעם מפלגת הירוקים בסכסוניה התחתונה ובעלת רכב ID.3, הביעה זעזוע מהנגישות לנתוני המיקום שלה. "אני המומה. אני מצפה מפולקסווגן להפסיק את האיסוף הזה, ולאסוף פחות מידע על ידי אנונימיזציה", אמרה לדר שפיגל. כפוליטיקאית, היא סובלת מאיומים מדי פעם, מה שהפך את חשיפת המידע למדאיגה במיוחד.

באופן דומה, מרקוס גרובל, חבר בבונדסטאג מטעם האיחוד הדמוקרטי הנוצרי (CDU) שגם נתוניו דלפו, כינה את התקרית "מטרידה ומביכה". "המומחיות של היצרנים בתחום ה-IT בבירור זקוקה לשיפור", אמר גרובל לעיתונאי. שני הפוליטיקאים זעמו בשל דליפת המידע, והדגישו את הסיכונים לאנשי ציבורי.

Cariad הצהירה כי אין ראיות לכך שגורמים בלתי מורשים מלבד החוקרים ניגשו למידע. החברה מבצעת ניתוח נוסף של התקרית, בשל מורכבותה, ותחליט על צעדים נוספים במידת הצורך.

המידע שנחשף אוחסן לכאורה כטקסט פשוט בשרתי ענן של אמזון, והיה נגיש במשך מספר חודשים בשל אמצעי אבטחה לא מספקים. מספר טרה-בייטים של מידע מרכבי קבוצתץ פולקסווגן היו זמינים לכל. מומחים ציינו כי הדליפה מדגישה את האתגרים הגוברים בהגנה על נתוני רכב, ואת החשיבות הגוברת של אבטחת מידע. פולקסווגן הבטיחה ללקוחות כי אין צורך בנקיטת פעולה מצדם, מכיוון שלא נחשף מידע רגיש כמו סיסמאות או פרטי תשלום, "המידע כלל נתונים על הרגלי התנהגות וטעינה, במטרה לייעל את תוכנת הסוללה והטעינה", מסרה החברה.

התקרית הובילה לקריאות לנקיטת אמצעי הגנה טובים יותר על מידע בתעשיית הרכב. "נראה שמכוניות באמת חמקו מתחת לרדאר הפרטיות", נאמר במחקר על הנושא בשנה שעברה. האיחוד האירופי חוקק את תקנות הגנת המידע הכלליות (GDPR), המגדירות כללים לאיסוף וניהול מידע אישי. בנוסף, חוק חדש שנכנס לתוקף מכוון להגן טוב יותר על אזרחי האיחוד האירופי מפני דליפות מידע, ומעניק לאנשים יותר שליטה על איסוף מידע מקוון והשימוש בו.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
פולקסוואגןפרצת אבטחהרכב

כדאי להכיר