Cariad
德国福斯(Volkswagen,VW)汽车集团因旗下软体公司Cariad一个应用配置不当,导致多个品牌数十万车主云端资料库可从外部存取而有外泄风险。但福斯汽车表示并没有资料被窃取的迹象。
德国媒体明镜(Spiegel)报导,非营利白帽骇客组织Chaos Computer Club(CCC)是获得消息人士爆料进行测试确认后,再分别通报Cariad及福斯。福斯集团指出,CCC是于2024年11月26日通知该公司,Cariad后端系统API存在问题,致使任何人都可以从外部网路存取到客户资讯,如果他们取得网址的话。
报导先是引述Cariad官方说法,CCC的安全研究人员先是获知内部2个IT应用配置不当的漏洞,使其得以绕过安全措施而存取车主资料库,但该公司声称,由于资料库内使用假名,即使是专家也要一点工夫才能拼凑出车主真实资料。
不过明镜周刊找来数位安全专家证明并没有这么困难。他们利用开源工具就能从曝光的Cariad系统找到凭证,循线存取Cariad内部应用的记忆体内容,再由其中挖掘出AWS上车主资料库的存取金钥。最后,他们看到这个AWS资料库储存了VW、Seat、Audi和Skoda等车款的逾80万车主的个资,VW及Seat车款甚至有精确到以公分计的定位资讯。
以车主身分而言,80万车辆中,有46万车子定位资讯外泄。而近半车主是德国人,其中有30辆车子属于汉堡市警局,还有一些属于情报机关员工,车主还有至少2名德国政治人物。其他车主国籍包含英国、法国、比利时、荷兰和丹麦及挪威。
Cariad公司对媒体指出,这批资讯只影响连网,且有注册线上服务的车辆。福斯汽车则明确指出,API问题影响启用线上功能及连结云端的Audi Q4 e-tron和Q6 e-tron。可能曝险的资料包含主要使用者姓名、暱称、电子邮件、用户ID、VIN以及停车的位置,以及特定事件(哩程、气候、警示讯息等)。支付或银行资讯、密码等敏感资讯未包含在内。
尽管曝险的资料很敏感,这家汽车大厂说,没有证据显示CCC以外还有别人曾经存取该API,且CCC也明确表示没有资料外流。Cariad及福斯都说问题已经解决,客户也不必变更密码或任何存取码。
这是福斯汽车今年第二度曝光的资安事件。2024年4月,报导指出福斯汽车在2010年到2015年间疑似遭中国骇客入侵,后者存取了近2万份和电动车有关的敏感文件。