Las cosas no van muy bien en Volkswagen En este momento, y aunque es probable que el último escándalo no alcance el nivel de El escándalo de las emisiones diéselUn fallo de seguridad del desarrollador de software interno de VW, Cariad, expuso las ubicaciones de unos 800.000 vehículos eléctricos a los piratas informáticos. Los propietarios de la aplicación que utilizaban para acceder a muchas de las funciones de sus coches, incluido el precalentamiento de los coches y la comprobación de sus niveles de carga, supuestamente dejaban los datos que recopilaba en gran medida desprotegidos. El Spiegel informa.
Los lugares a los que va la gente y otros datos que podrían usarse para crear un perfil detallado de un propietario y sus movimientos no deberían ser accesibles para personas ajenas, pero según Spiegel, varios terabytes de datos de propietarios se almacenaron en la nube de Amazon y se pudo acceder a ellos. Los piratas informáticos han estado expuestos a los ataques durante meses. Si los datos hubieran sido anónimos, eso habría sido bastante malo, pero también se dice que podrían estar vinculados a los propietarios y su información de contacto, lo que empeoraría aún más la situación. Los afectados, incluidos algunos políticos locales, no están contentos:
Un denunciante compartió la grave vulnerabilidad de seguridad con el Chaos Computer Club y SPIEGEL. Nadja Weippert y Markus Grübel aceptaron que los periodistas examinaran más de cerca los registros de datos de sus automóviles para el propósito de su investigación.
“Estoy en shock”, dice Weippert cuando SPIEGEL le muestra sus datos de ubicación de los últimos meses. Como política estatal y local, está expuesta a hostilidad y amenazas. “No puede ser que mis datos estén almacenados sin cifrar en la nube de Amazon y luego ni siquiera protegidos adecuadamente”, dice. “Espero que VW detenga esto, recopile menos datos en general y los anonimice en cualquier caso”.
Grübel también considera que la filtración de datos es “molesta y embarazosa” y dice que no fortalece precisamente la confianza en la industria automovilística alemana. “Especialmente en lo que respecta a la conducción autónoma y posibles ataques de piratería manipuladores, la competencia informática de los fabricantes claramente aún necesita mejorar significativamente”.
Cuando Spiegel revisó los datos, pudo ver las ubicaciones exactas de aproximadamente 460.000 vehículos y podría haber rastreado fácilmente los movimientos de individuos, incluidos políticos, ejecutivos de empresas e incluso miembros del departamento de policía de Hamburgo. ¿Quiere ver qué propietarios de Volkswagen, Seat, Skoda y Audi visitan el burdel Artemis en Berlín? Sí, claro. La buena noticia para los clientes casados del burdel es que Spiegel es un periódico, no una red internacional de extorsión. Al mismo tiempo, si los periodistas pudieron obtener esta información, no hay motivos para creer que no estuviera también disponible para gobiernos extranjeros, chantajistas o gobiernos extranjeros que quisieran hacer algún tipo de chantaje.
La buena noticia es que, cuando los miembros del Chaos Computer Club se pusieron en contacto con Cariad, esta actuó rápidamente para solucionar el problema. Como dijo el portavoz Linus Neumann a Spiegel: “El equipo técnico de Cariad respondió de manera rápida, exhaustiva y responsable”. Aun así, es un gran problema que esto haya sido un problema en primer lugar, especialmente considerando lo fácil que era acceder a los datos:
Un equipo de expertos en TI y periodistas de SPIEGEL fue capaz de reproducir de antemano la vulnerabilidad. Ni los servicios de inteligencia, ni los espías de la competencia de VW, ni los delincuentes o incluso los adolescentes aburridos habrían tenido ningún problema real para acceder.
Todo estaba a la vista, solo había que saber dónde buscar. Nada más que unos pocos programas informáticos de libre acceso, que son herramientas estándar para los delincuentes. piratas informáticos y expertos en seguridad informática.
En términos simples, hicieron posible encontrar ciertos sitios web de Cariad y sus subpáginas adivinando sistemáticamente, incluso si algunos de ellos son invisibles para los usuarios normales. Esto hizo visibles las rutas que conducían directamente a archivos cuyas extensiones indicaban que podrían contener contenido confidencial. Una de estas rutas conducía a una copia del volcado de memoria actual de una aplicación interna de Cariad. Un archivo no debería estar disponible en Internet, o al menos no sin protección mediante contraseña. Los programas y procesos de seguridad modernos deberían poder detectar una omisión de este tipo. Como este no era el caso de Cariad, los atacantes podrían simplemente haber descargado y abierto el volcado de memoria, que contenía –fácilmente encontrado– los datos de acceso a una instalación de almacenamiento en la nube de Amazon.
El propio almacenamiento en la nube contenía los datos de cada vehículo, inmediatamente reconocibles por los nombres del nivel de carga de la batería, el estado de la inspección y las categorías “motor encendido” y “motor apagado”. Estas últimas contenían no solo la hora, sino también la longitud. líneas de latitud y de latitud y, por tanto, la posición del vehículo cuando el motor eléctrico estaba apagado. En el caso de los modelos VW y Seat, estos datos geográficos tenían una precisión de diez centímetros y, en el caso de los Audi y Skoda, de diez kilómetros, por lo que resultaban menos problemáticos.
Se encontraron más datos de acceso en otro lugar, esta vez para un servicio específico de VW. Esto permite a los propietarios de automóviles crear un perfil personal a través de una aplicación y vincularlo a su vehículo. Estos datos de acceso permitieron consultar la base de datos de VW para todos los usuarios registrados de la aplicación y vincularla al primer usuario registrado. conjunto de datos del automóvil. Esto hizo posible asignar datos detallados del movimiento a personas individuales, incluidas direcciones de correo electrónico y, en algunos casos, direcciones y números de teléfono celular. Linus Neumann, del CCC, lo compara con “un enorme manojo de llaves debajo de un felpudo que era demasiado pequeño”.
Sí, eso no es nada bueno. Hay mucho más en la investigación de Spiegel, así que asegúrate de ir allí y Lea atentamente el artículo traducido por Google.A menos que hables alemán, en cuyo caso lo estás haciendo mejor que la mayoría de nosotros.
Gracias: Motor 1
Este contenido ha sido traducido automáticamente del material original. Debido a los matices de la traducción automática, pueden existir ligeras diferencias. Para la versión original, haga clic aquí.