С 27 по 30 декабря в Гамбурге проходила ежегодная конференция Chaos Communication Congress. Одна из наиболее заметных презентаций на конференции была посвящена утечке данных телеметрии, собираемой с автомобилей концерна Volkswagen Group. Видео презентации и большой материал издания Spiegel (оба — на немецком языке) можно посмотреть и почитать соответственно здесь и здесь.
Два главных вопроса, на которые пытались ответить и исследователи и журналисты из Spiegel: как именно утекли данные и зачем вообще их собирали. На первый вопрос ответить проще. Формально данный инцидент можно классифицировать как «неверная конфигурация» сервера, на котором хранятся данные, но на самом деле все несколько сложнее. Приватные данные клиентов Volkswagen хранились на виртуальном сервере Amazon, который был достаточно неплохо защищен. Плохо были защищены ключи доступа к нему.
Если пересказывать данное исследование по порядку, то получается следующее. Данные утекли у подразделения Volkswagen Group — компании CARIAD, в свое время созданной для разработки программной платформы для электромобилей концерна. Данное подразделение ответственно за разработку онлайн-сервисов, предоставляемых владельцам автомобилей Volkswagen, SEAT, Audi и Škoda. Судя по заявлениям компании, только активное использование данных сервисов (грубо говоря, нужно установить на телефон приложение и включить возможность удаленного доступа к некоторым функциям автомобиля) приводит к сбору данных, и от него в теории можно отказаться.
Доступ к этим данным стал возможен после того, как исследователи провели сканирование публичной инфраструктуры компании CARIAD, в результате чего в открытом доступе был обнаружен дамп памяти, собранный после падения одного из внутренних приложений. В открытом доступе дамп находился с лета 2023 года. Внутри этого дампа были найдены ключи к серверу на Amazon, а уже там была обнаружена база телеметрии, собранной примерно с 800 тысяч электромобилей. Из них для 460 тысяч авто была доступна точная геолокация. Большинство этих машин были физически расположены в Германии, хотя данные о перемещении авто передавались и из Норвегии, Швеции, Великобритании и других стран.
Основной массив данных был свежий — за 2024 год. Интересно, что из-за каких-то внутренних особенностей работы софта для автомобилей Volkswagen и SEAT координаты сохранялись с максимальной, сантиметровой точностью, а для Audi и Škoda записывалась примерная локация в пределах 10 километров. Нахождение такой информации в (почти) публичном доступе не порадует ни одного владельца автомобиля Volkswagen Group, но в издании Spiegel приводят уж совсем неприятные примеры. Это и данные о перемещении полицейских автомобилей, и точная информация о путешествиях немецких политиков. Интересно, что геолокация в базе хранилась отдельно от персональных данных, но во многих случаях было возможным сопоставление разных баз в утечке так, чтобы привязать лог перемещений к конкретному пользователю — по данным, которые сам пользователь ввел в приложении для работы с автомобилем.
Данный конкретный инцидент привел разве что к репутационным потерям для Volkswagen: после сообщения о возможной утечке достаточно было поменять ключи доступа, и проблема была решена. Ввиду нетривиального метода обнаружения ключей доступа вероятность того, что данные попали к кому-то еще, минимальная. Другой вопрос — зачем эти данные вообще собирают. Ответы ожидаемые: для улучшения качества обслуживания, для работы систем экстренного вызова и тому подобное. Для первого случая в презентации на CCC приводились такие типы данных в базе, как температура аккумуляторной батареи. Для экстренного вызова после ДТП может быть полезна передача координат. Насколько необходимо сохранение точных координат автомобилей в течение длительного времени — это все же открытый вопрос.
Издание Spiegel ссылается на исследование фонда Mozilla Foundation, проведенное в сентябре 2023 года, мы о нем тоже писали. Тогда простейшее изучение пользовательских соглашений автопроизводителей показало, что они могут собирать огромный массив данных. Утечка данных Volkswagen показывает, что данные действительно собираются в больших объемах. Да, телеметрия важна для развития технологий, особенно связанных с автопилотированием. Но поведение автовладельцев, информация об их привычках, часто посещаемых локациях и подобном — слишком коммерчески выгодный набор данных, чтобы производители авто добровольно от него отказывались из соображений приватности.
Еще одна интересная презентация на конференции Chaos Communication Congress была проведена группой хакеров из Польши, известной как Dragon Sector. На прошлогодней конференции они произвели фурор рассказом об обнаружении программных закладок в поездах польского производителя Newag. Эта компания проиграла тендер на обслуживание своих поездов (после истечения гарантии), а их конкурент, выигравший тендер, столкнулся с проблемой: после ремонта абсолютно исправные поезда не работали. К расследованию были привлечены специалисты из Dragon Sector, которые нашли несколько закладок в программном обеспечении. Движение блокировалось, например, если поезд слишком долго стоял в месте с определенными координатами (указывавшими на мастерские конкурентов), в определенную дату, и так далее.
В новом выступлении представители Dragon Sector делятся новостями. Против хакеров производителем поездов было подано два судебных иска, в одном из них они одновременно обвиняются в клевете (о том, что в поезде были закладки) и в публикации проприетарного кода компании (который содержит закладки). Исследователи поделились двумя новыми техническими моментами. Один польский перевозчик сталкивался с выходом поездов Newag из строя не в ходе ремонта, а во время движения с пассажирами. Это происходило из-за того, что координаты конкурирующего вагоноремонтного депо в закладке были введены так, что захватывали кусок магистральных железнодорожных путей. Проблему тогда удалось решить путем отключения модуля навигации в поездах. Еще одна мелкая деталь: производитель предусмотрел достаточно скрытный способ сброса блокировки — если зайти в туалет возле кабины машиниста и нажать определенную кнопку. Данный инцидент, расследование которого ведется властями Польши, дополняет общую дискуссию о праве владельцев техники (включая очень сложную) на ремонт.
В результате фишинговой атаки был перехвачен контроль над расширением для браузера Google Chrome, принадлежащем компании Cyberhaven. Эта компания предоставляет клиентам услуги отслеживания утечек данных. После взлома был распространен вредоносный апдейт для расширения, который похищал пользовательскую информацию.
Любопытный баг был обнаружен в логике установки Windows 11 с флешки. В случае установки свежего релиза Windows 11 24H2 с внешнего носителя блокировалась дальнейшая установка обновлений безопасности.
Два главных вопроса, на которые пытались ответить и исследователи и журналисты из Spiegel: как именно утекли данные и зачем вообще их собирали. На первый вопрос ответить проще. Формально данный инцидент можно классифицировать как «неверная конфигурация» сервера, на котором хранятся данные, но на самом деле все несколько сложнее. Приватные данные клиентов Volkswagen хранились на виртуальном сервере Amazon, который был достаточно неплохо защищен. Плохо были защищены ключи доступа к нему.
Если пересказывать данное исследование по порядку, то получается следующее. Данные утекли у подразделения Volkswagen Group — компании CARIAD, в свое время созданной для разработки программной платформы для электромобилей концерна. Данное подразделение ответственно за разработку онлайн-сервисов, предоставляемых владельцам автомобилей Volkswagen, SEAT, Audi и Škoda. Судя по заявлениям компании, только активное использование данных сервисов (грубо говоря, нужно установить на телефон приложение и включить возможность удаленного доступа к некоторым функциям автомобиля) приводит к сбору данных, и от него в теории можно отказаться.
Доступ к этим данным стал возможен после того, как исследователи провели сканирование публичной инфраструктуры компании CARIAD, в результате чего в открытом доступе был обнаружен дамп памяти, собранный после падения одного из внутренних приложений. В открытом доступе дамп находился с лета 2023 года. Внутри этого дампа были найдены ключи к серверу на Amazon, а уже там была обнаружена база телеметрии, собранной примерно с 800 тысяч электромобилей. Из них для 460 тысяч авто была доступна точная геолокация. Большинство этих машин были физически расположены в Германии, хотя данные о перемещении авто передавались и из Норвегии, Швеции, Великобритании и других стран.
Основной массив данных был свежий — за 2024 год. Интересно, что из-за каких-то внутренних особенностей работы софта для автомобилей Volkswagen и SEAT координаты сохранялись с максимальной, сантиметровой точностью, а для Audi и Škoda записывалась примерная локация в пределах 10 километров. Нахождение такой информации в (почти) публичном доступе не порадует ни одного владельца автомобиля Volkswagen Group, но в издании Spiegel приводят уж совсем неприятные примеры. Это и данные о перемещении полицейских автомобилей, и точная информация о путешествиях немецких политиков. Интересно, что геолокация в базе хранилась отдельно от персональных данных, но во многих случаях было возможным сопоставление разных баз в утечке так, чтобы привязать лог перемещений к конкретному пользователю — по данным, которые сам пользователь ввел в приложении для работы с автомобилем.
Данный конкретный инцидент привел разве что к репутационным потерям для Volkswagen: после сообщения о возможной утечке достаточно было поменять ключи доступа, и проблема была решена. Ввиду нетривиального метода обнаружения ключей доступа вероятность того, что данные попали к кому-то еще, минимальная. Другой вопрос — зачем эти данные вообще собирают. Ответы ожидаемые: для улучшения качества обслуживания, для работы систем экстренного вызова и тому подобное. Для первого случая в презентации на CCC приводились такие типы данных в базе, как температура аккумуляторной батареи. Для экстренного вызова после ДТП может быть полезна передача координат. Насколько необходимо сохранение точных координат автомобилей в течение длительного времени — это все же открытый вопрос.
Издание Spiegel ссылается на исследование фонда Mozilla Foundation, проведенное в сентябре 2023 года, мы о нем тоже писали. Тогда простейшее изучение пользовательских соглашений автопроизводителей показало, что они могут собирать огромный массив данных. Утечка данных Volkswagen показывает, что данные действительно собираются в больших объемах. Да, телеметрия важна для развития технологий, особенно связанных с автопилотированием. Но поведение автовладельцев, информация об их привычках, часто посещаемых локациях и подобном — слишком коммерчески выгодный набор данных, чтобы производители авто добровольно от него отказывались из соображений приватности.
Что ещё произошло
Еще одна интересная презентация на конференции Chaos Communication Congress была проведена группой хакеров из Польши, известной как Dragon Sector. На прошлогодней конференции они произвели фурор рассказом об обнаружении программных закладок в поездах польского производителя Newag. Эта компания проиграла тендер на обслуживание своих поездов (после истечения гарантии), а их конкурент, выигравший тендер, столкнулся с проблемой: после ремонта абсолютно исправные поезда не работали. К расследованию были привлечены специалисты из Dragon Sector, которые нашли несколько закладок в программном обеспечении. Движение блокировалось, например, если поезд слишком долго стоял в месте с определенными координатами (указывавшими на мастерские конкурентов), в определенную дату, и так далее.
В новом выступлении представители Dragon Sector делятся новостями. Против хакеров производителем поездов было подано два судебных иска, в одном из них они одновременно обвиняются в клевете (о том, что в поезде были закладки) и в публикации проприетарного кода компании (который содержит закладки). Исследователи поделились двумя новыми техническими моментами. Один польский перевозчик сталкивался с выходом поездов Newag из строя не в ходе ремонта, а во время движения с пассажирами. Это происходило из-за того, что координаты конкурирующего вагоноремонтного депо в закладке были введены так, что захватывали кусок магистральных железнодорожных путей. Проблему тогда удалось решить путем отключения модуля навигации в поездах. Еще одна мелкая деталь: производитель предусмотрел достаточно скрытный способ сброса блокировки — если зайти в туалет возле кабины машиниста и нажать определенную кнопку. Данный инцидент, расследование которого ведется властями Польши, дополняет общую дискуссию о праве владельцев техники (включая очень сложную) на ремонт.
В результате фишинговой атаки был перехвачен контроль над расширением для браузера Google Chrome, принадлежащем компании Cyberhaven. Эта компания предоставляет клиентам услуги отслеживания утечек данных. После взлома был распространен вредоносный апдейт для расширения, который похищал пользовательскую информацию.
Любопытный баг был обнаружен в логике установки Windows 11 с флешки. В случае установки свежего релиза Windows 11 24H2 с внешнего носителя блокировалась дальнейшая установка обновлений безопасности.
Комментарии (2)
JediPhilosopher
30.12.2024 18:18Данные ваших перемещений по стране все равно есть. Не знаю как в Германии, у нас система дорожных камер отслеживает перемещения авто по номеру. Да, там точность ниже, так как там фиксируются события проезда дорожных камер, но с точностью до города или района вас все равно идентифицируют. И данные этой базы точно так же воруются, продаются и пробиваются.
Так что одной базой больше, одной меньше... давно пора привыкнуть что в современном мире не спрячешься.
Dm_Dm
Собирали только с электромобилей?
Ждём вскорости электромобильгейт