Cariad, công ty con của Volkswagen chuyên phát triển phần mềm cho các loại xe của tập đoàn Đức, đã vô tình làm lộ dữ liệu của 800.000 xe điện. Thông tin có thể truy cập được trên một không gian lưu trữ trực tuyến mà không có biện pháp bảo vệ đầy đủ trong nhiều tháng.
Chaos Computer Club (CCC), một trong những tổ chức tin tặc lớn nhất và lâu đời nhất trên thế giới, đã gióng lên hồi chuông cảnh báo. Như công ty con của Volkswagen giải thích, dữ liệu đã bị lộ sau khi "cấu hình Cariad không đúng trong hai ứng dụng máy tính".
Được CCC cảnh báo, Cariad đã nhanh chóng khắc phục tình hình. Trong vòng vài giờ sau khi phát hiện ra, quyền truy cập đã bị cắt. Công ty con cho biết vẫn cần phải bỏ qua một số cơ chế bảo mật trước khi có thể xem dữ liệu.
Những chiếc xe mang thương hiệu Volkswagen, Seat, Audi và Skoda đã bị ảnh hưởng bởi vụ vi phạm. Công ty nêu rõ chỉ những xe có kết nối Internet mới bị ảnh hưởng. Dữ liệu bị lộ bao gồm thông tin cá nhân về người lái xe, chẳng hạn như tên. Điều quan trọng là lỗi này đã tiết lộ vị trí địa lý chính xác của 460.000 trong số 800.000 ô tô. Có thể định vị được ô tô với độ chính xác mười cm khi tắt động cơ điện.
Rõ ràng đây là một thảm họa đối với tính bảo mật và quyền riêng tư của người dùng. Theo hãng truyền thông Đức Spiegel đưa tin, điều này càng đáng lo ngại hơn vì danh tính của tài xế có thể bị suy ra thông qua dữ liệu do Cariad công bố. Trên thực tế, có thể kết hợp nhiều cơ sở thông tin để truy tìm về một cá nhân cụ thể. Các chuyên gia từ Chaos Computer Club đã chứng minh điều này trước khi cảnh báo Cariad. Đây là cách nhận dạng xe của hai chính trị gia người Đức. Dữ liệu cho phép "rút ra kết luận về cuộc sống của những người ngồi sau tay lái", Spiegel tỏ ra tiếc nuối, chỉ ra những rủi ro của hoạt động gián điệp.
Hầu hết những chiếc xe có liên quan đều ở Đức. Tuy nhiên, hơn 50.000 xe có dữ liệu bị lộ thuộc về tài xế người Pháp. Hơn 60.000 xe ô tô bị ảnh hưởng đang lưu thông trên đường ở Bỉ. Trong số những xe bị ảnh hưởng có khoảng ba mươi xe từ đội xe cảnh sát Hamburg. Một số phương tiện đã được các điệp viên tình báo Đức sử dụng.
Tin tốt là Cariad chưa tìm thấy bất kỳ bằng chứng nào cho thấy tội phạm mạng biết về dữ liệu bị lộ trực tuyến. Do đó, không có dấu hiệu nào cho thấy thông tin đã rơi vào tay những kẻ có ý đồ xấu. Tại thời điểm này, "không ai ngoài CCC truy cập vào hệ thống và chúng tôi không có dấu hiệu nào cho thấy bên thứ ba sử dụng sai mục đích dữ liệu".
Tuy nhiên, Cariad đã thấy mình bị chỉ trích. Công ty con này bị cáo buộc thu thập quá nhiều dữ liệu về khách hàng của mình. Công ty Đức tự bảo vệ mình và đảm bảo rằng "các thương hiệu của tập đoàn Volkswagen chỉ thu thập, lưu trữ, truyền tải và sử dụng dữ liệu cá nhân trong khuôn khổ các quy định pháp lý và mối quan hệ hợp đồng hiện có, lợi ích hợp pháp hoặc sự đồng ý rõ ràng của khách hàng". Ngoài ra, khách hàng có thể quyết định "có sử dụng các sản phẩm và dịch vụ khiến việc xử lý dữ liệu cá nhân trở nên cần thiết hay không". Cuối cùng, "tất cả các xe có chức năng trực tuyến đều có thể hủy kích hoạt bộ sưu tập bất cứ lúc nào", Cariad kết luận.
Nguồn: Spiegel
Chaos Computer Club (CCC), một trong những tổ chức tin tặc lớn nhất và lâu đời nhất trên thế giới, đã gióng lên hồi chuông cảnh báo. Như công ty con của Volkswagen giải thích, dữ liệu đã bị lộ sau khi "cấu hình Cariad không đúng trong hai ứng dụng máy tính".
Được CCC cảnh báo, Cariad đã nhanh chóng khắc phục tình hình. Trong vòng vài giờ sau khi phát hiện ra, quyền truy cập đã bị cắt. Công ty con cho biết vẫn cần phải bỏ qua một số cơ chế bảo mật trước khi có thể xem dữ liệu.
Vị trí của xe và danh tính của tài xế
Những chiếc xe mang thương hiệu Volkswagen, Seat, Audi và Skoda đã bị ảnh hưởng bởi vụ vi phạm. Công ty nêu rõ chỉ những xe có kết nối Internet mới bị ảnh hưởng. Dữ liệu bị lộ bao gồm thông tin cá nhân về người lái xe, chẳng hạn như tên. Điều quan trọng là lỗi này đã tiết lộ vị trí địa lý chính xác của 460.000 trong số 800.000 ô tô. Có thể định vị được ô tô với độ chính xác mười cm khi tắt động cơ điện.
Rõ ràng đây là một thảm họa đối với tính bảo mật và quyền riêng tư của người dùng. Theo hãng truyền thông Đức Spiegel đưa tin, điều này càng đáng lo ngại hơn vì danh tính của tài xế có thể bị suy ra thông qua dữ liệu do Cariad công bố. Trên thực tế, có thể kết hợp nhiều cơ sở thông tin để truy tìm về một cá nhân cụ thể. Các chuyên gia từ Chaos Computer Club đã chứng minh điều này trước khi cảnh báo Cariad. Đây là cách nhận dạng xe của hai chính trị gia người Đức. Dữ liệu cho phép "rút ra kết luận về cuộc sống của những người ngồi sau tay lái", Spiegel tỏ ra tiếc nuối, chỉ ra những rủi ro của hoạt động gián điệp.
Những người lái xe Pháp lo ngại
Hầu hết những chiếc xe có liên quan đều ở Đức. Tuy nhiên, hơn 50.000 xe có dữ liệu bị lộ thuộc về tài xế người Pháp. Hơn 60.000 xe ô tô bị ảnh hưởng đang lưu thông trên đường ở Bỉ. Trong số những xe bị ảnh hưởng có khoảng ba mươi xe từ đội xe cảnh sát Hamburg. Một số phương tiện đã được các điệp viên tình báo Đức sử dụng.
Tin tốt là Cariad chưa tìm thấy bất kỳ bằng chứng nào cho thấy tội phạm mạng biết về dữ liệu bị lộ trực tuyến. Do đó, không có dấu hiệu nào cho thấy thông tin đã rơi vào tay những kẻ có ý đồ xấu. Tại thời điểm này, "không ai ngoài CCC truy cập vào hệ thống và chúng tôi không có dấu hiệu nào cho thấy bên thứ ba sử dụng sai mục đích dữ liệu".
Tuy nhiên, Cariad đã thấy mình bị chỉ trích. Công ty con này bị cáo buộc thu thập quá nhiều dữ liệu về khách hàng của mình. Công ty Đức tự bảo vệ mình và đảm bảo rằng "các thương hiệu của tập đoàn Volkswagen chỉ thu thập, lưu trữ, truyền tải và sử dụng dữ liệu cá nhân trong khuôn khổ các quy định pháp lý và mối quan hệ hợp đồng hiện có, lợi ích hợp pháp hoặc sự đồng ý rõ ràng của khách hàng". Ngoài ra, khách hàng có thể quyết định "có sử dụng các sản phẩm và dịch vụ khiến việc xử lý dữ liệu cá nhân trở nên cần thiết hay không". Cuối cùng, "tất cả các xe có chức năng trực tuyến đều có thể hủy kích hoạt bộ sưu tập bất cứ lúc nào", Cariad kết luận.
Nguồn: Spiegel
