Đầu tháng này, hãng Volkswagen đã phải đối mặt với một vụ bê bối lớn khi công ty phần mềm ô tô Cariad tiết lộ rằng dữ liệu của khoảng 800.000 xe điện đã bị rò rỉ ra ngoài do lỗi bảo mật nghiêm trọng. Theo báo cáo, các thông tin này có thể liên kết với tên của tài xế và cho thấy vị trí chính xác của phương tiện, để lại mối lo ngại lớn về sự an toàn và quyền riêng tư của khách hàng.
Các terabyte thông tin chi tiết về khách hàng của Volkswagen đã được lưu trữ không được bảo vệ trên Amazon Cloud trong nhiều tháng, cho phép bất cứ ai có kiến thức kỹ thuật hạn chế cũng có thể theo dõi chuyển động của lái xe hoặc thu thập thông tin cá nhân. Danh sách dữ liệu bị rò rỉ không chỉ bao gồm các xe của Volkswagen mà còn bao gồm cả các mẫu xe Seat, Audi và Skoda, với một số dữ liệu về vị trí địa lý chính xác đến mức chỉ vài centimet.
Nguyên nhân của việc này xuất phát từ cấu hình sai trong hai ứng dụng IT của Cariad, theo như một đại diện của công ty chia sẻ với BleepingComputer. Vào ngày 26 tháng 11, tổ chức hacker đạo đức lớn nhất châu Âu, Chaos Computer Club (CCC), đã thông báo cho Cariad về vấn đề này. CCC phát hiện ra lỗ hổng từ một người tố giác và đã thử nghiệm truy cập không an toàn trước khi cung cấp các thông tin kỹ thuật cho Cariad và Volkswagen.
Trong một tuyên bố với BleepingComputer, đại diện của Cariad cho biết rằng chỉ những phương tiện được kết nối internet và đã đăng ký dịch vụ trực tuyến mới bị ảnh hưởng. Từ gần 800.000 xe đã bị lộ, các nhà nghiên cứu đã tìm thấy dữ liệu địa lý cho 460.000 xe, với độ chính xác lên đến mười centimet đối với một số xe. Đặc biệt, hơn 30 phương tiện trong số đó thuộc đội tuần tra của cảnh sát Hamburg, trong khi một số còn lại thuộc về các nhân viên của các cơ quan tình báo bị nghi ngờ.
Công ty cho biết rằng các hacker CCC chỉ có thể truy cập dữ liệu sau khi vượt qua một số cơ chế bảo mật và điều này đòi hỏi nhiều kỹ thuật và thời gian đáng kể. Dữ liệu của từng phương tiện cũng đã được tăng cường bảo mật bằng cách lập bí danh nhằm bảo vệ sự riêng tư, tuy nhiên, các hacker đã kết hợp các bộ dữ liệu khác nhau để gán thông tin với một người dùng cụ thể để tăng cường tính hiệu quả trong việc truy cập thông tin.
Tờ Spiegel đã tổ chức một nhóm các chuyên gia CNTT và nhà báo đã phát hiện ra những chi tiết vị trí được thu thập từ xe của hai chính trị gia Đức, Nadja Weippert và thành viên quốc hội Markus Grübel, chỉ sử dụng phần mềm có sẵn miễn phí. Các công cụ này đã tìm kiếm tài sản Cariad bị rò rỉ chứa các tệp thông tin nhạy cảm và dẫn đến việc tìm thấy một bản sao của bộ nhớ từ một ứng dụng nội bộ của Cariad.
Bên trong bộ nhớ dump, hackers đã phát hiện ra các chìa khóa truy cập đến một instance lưu trữ đám mây trên Amazon nơi Cariad lưu trữ dữ liệu thu thập từ các phương tiện của khách hàng trong tập đoàn Volkswagen. Tờ Spiegel báo cáo rằng một số thông tin dữ liệu đã chỉ rõ tọa độ kinh độ và vĩ độ của các xe khi động cơ điện đã tắt. “Đối với các mẫu xe VW và Seat, dữ liệu địa lý này chính xác đến mười centimet, còn đối với các mẫu Audi và Skoda thì chính xác đến mười kilomet, do đó không nghiêm trọng bằng” – Spiegel cho biết.
Phần lớn các xe bị ảnh hưởng, khoảng 300.000 chiếc, nằm ở Đức, trong khi các nhà nghiên cứu cũng tìm thấy thông tin về các xe tại Na Uy (80.000), Thụy Điển (68.000), Vương quốc Anh (63.000), Hà Lan (61.000), Pháp (53.000), Bỉ (68.000) và Đan Mạch (35.000). Cariad cũng cho biết nhóm an ninh của họ đã phản ứng nhanh chóng để khắc phục sự cố và đã đóng quyền truy cập vào cùng ngày mà CCC báo cáo.
Các đại diện của CCC xác nhận với Spiegel rằng đội ngũ kỹ thuật của Cariad “đã phản ứng nhanh chóng, kỹ lưỡng và có trách nhiệm” và rằng công ty đã phản ứng trong vòng vài giờ sau khi nhận được các thông tin kỹ thuật. Theo kết quả điều tra, Cariad không có bằng chứng cho thấy các bên khác, ngoài các hacker CCC, đã truy cập vào dữ liệu phương tiện bị lộ hoặc thông tin đã bị lạm dụng bởi bên thứ ba.
Công ty cũng nhấn mạnh rằng CCC chỉ có thể truy cập dữ liệu thu thập từ phương tiện và không thể truy cập vào chính các xe. Cariad cho biết rằng khách hàng của các thương hiệu thuộc tập đoàn Volkswagen có thể đồng ý sử dụng các sản phẩm và dịch vụ yêu cầu xử lý dữ liệu cá nhân và có thể vô hiệu hóa tùy chọn này bất kỳ lúc nào. Tuy nhiên, công ty cũng lưu ý rằng dữ liệu thu thập từ các phương tiện giúp họ “cung cấp, phát triển và cải thiện các chức năng kỹ thuật số” cho khách hàng cũng như tạo ra những lợi ích bổ sung.