来源:企业网D1net
分析师表示,大众汽车未能达到数据安全方面的监管要求,甚至违反了其自身的服务条款。
据12月27日混沌计算机俱乐部(Chaos Computer Club)就该事件发布的报告,未能妥善保护其亚马逊网络服务(AWS)环境的访问权限是近期大众汽车大规模数据泄露的根本原因之一。
帮助揭露此次泄露的安全分析师表示,这家市值3510亿美元的汽车制造商未对来自超过1500万辆注册车辆的敏感客户数据进行截断或加密,从而违反了其自身的服务条款以及监管要求,特别是《通用数据保护条例》(GDPR)。
名为Flüpke的IT安全分析师告诉听众:“他们收集的数据太多了。如果你想评估电池安全性,那么你不需要位置数据。”
他指出,大众汽车收集的数据包含广泛的信息,包括用户数据(如姓名、电子邮件地址、出生日期和实际地址)、汽车数据(如车辆识别码、型号、年份和完整用户ID),以及电动车(EV)数据点(如里程表读数、电池温度、电池状态、充电状态和警示灯数据)。
车辆保留数太字节关于驾驶员的敏感信息这一问题并非新鲜事,但最近情况变得更为严重,部分原因是电动车收集的信息要多得多。有关车辆数据保留问题的报道早在四年多前就开始出现。
问题在于,汽车制造商被要求保留其中一些数据。例如,Flüpke指出,自2018年以来,欧盟已要求收集和共享一些车辆数据,这是欧盟为在发生严重事故时自动向涉事车辆提供援助所做努力的一部分。
Flüpke表示,他通过结合使用包括Subfinder、GoBuster和Spring在内的各种编码工具发现了大众汽车的数据问题。使用这些工具,Flüpke说他能够从大众汽车内部环境中检索到Heap Dump文件,因为它没有密码保护。Heap Dump文件列出了Java虚拟机(JVM)中的各种对象,可以揭示内存使用的详细信息。这本应用于监控性能指标和进行自省检查。
在该Heap Dump文件中,以明文形式列出了各种有效的AWS凭证。当Flüpke就这些凭证的发现与大众汽车对质时,他引述该公司的说法称,“数据的访问发生在一个非常复杂的多层过程中。”
Flüpke说,虽然这没错,而且后端并非面向终端用户,而是用于令牌交换,“但你可以使用任意userID生成一个JWT令牌,这是一个没有密码的身份验证令牌。这很有用,因为你可以给它一个userID,然后突然你就成了那个用户。我们无法用此远程驾驶汽车,但我们可以使用来自此身份提供者的API进行身份验证并访问用户数据。”
同样分析了这些数据的数据记者Michael Kreil在会议发言中表示,9.5TB的事件数据中包含地理数据坐标,其中一些坐标的准确度在10厘米以内。它揭示了人们去哪里上班、何时在何处购物、送孩子上哪所学校,以及执法人员的住处等信息。
Flüpke说,在数据泄露事件发生后,大众汽车在得知这一问题后立即使AWS凭证失效。
版权声明:本文为企业网D1net编译,转载需在文章开头注明出处为:企业网D1net,如果不注明出处,企业网D1net将保留追究其法律责任的权利。
(来源:企业网D1net)
