由于未能保護(hù)AWS憑證,大眾汽車遭遇大規(guī)模數(shù)據(jù)泄露
分析師表示,大眾汽車未能達(dá)到數(shù)據(jù)安全方面的監(jiān)管要求,甚至違反了其自身的服務(wù)條款。
據(jù)12月27日混沌計算機(jī)俱樂部(Chaos Computer Club)就該事件發(fā)布的報告,未能妥善保護(hù)其亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)環(huán)境的訪問權(quán)限是近期大眾汽車大規(guī)模數(shù)據(jù)泄露的根本原因之一。
幫助揭露此次泄露的安全分析師表示,這家市值3510億美元的汽車制造商未對來自超過1500萬輛注冊車輛的敏感客戶數(shù)據(jù)進(jìn)行截斷或加密,從而違反了其自身的服務(wù)條款以及監(jiān)管要求,特別是《通用數(shù)據(jù)保護(hù)條例》(GDPR)。
名為Flüpke的IT安全分析師告訴聽眾:“他們收集的數(shù)據(jù)太多了。如果你想評估電池安全性,那么你不需要位置數(shù)據(jù)。”
他指出,大眾汽車收集的數(shù)據(jù)包含廣泛的信息,包括用戶數(shù)據(jù)(如姓名、電子郵件地址、出生日期和實(shí)際地址)、汽車數(shù)據(jù)(如車輛識別碼、型號、年份和完整用戶ID),以及電動車(EV)數(shù)據(jù)點(diǎn)(如里程表讀數(shù)、電池溫度、電池狀態(tài)、充電狀態(tài)和警示燈數(shù)據(jù))。
車輛保留數(shù)太字節(jié)關(guān)于駕駛員的敏感信息這一問題并非新鮮事,但最近情況變得更為嚴(yán)重,部分原因是電動車收集的信息要多得多。有關(guān)車輛數(shù)據(jù)保留問題的報道早在四年多前就開始出現(xiàn)。
問題在于,汽車制造商被要求保留其中一些數(shù)據(jù)。例如,F(xiàn)lüpke指出,自2018年以來,歐盟已要求收集和共享一些車輛數(shù)據(jù),這是歐盟為在發(fā)生嚴(yán)重事故時自動向涉事車輛提供援助所做努力的一部分。
Flüpke表示,他通過結(jié)合使用包括Subfinder、GoBuster和Spring在內(nèi)的各種編碼工具發(fā)現(xiàn)了大眾汽車的數(shù)據(jù)問題。使用這些工具,F(xiàn)lüpke說他能夠從大眾汽車內(nèi)部環(huán)境中檢索到Heap Dump文件,因?yàn)樗鼪]有密碼保護(hù)。Heap Dump文件列出了Java虛擬機(jī)(JVM)中的各種對象,可以揭示內(nèi)存使用的詳細(xì)信息。這本應(yīng)用于監(jiān)控性能指標(biāo)和進(jìn)行自省檢查。
在該Heap Dump文件中,以明文形式列出了各種有效的AWS憑證。當(dāng)Flüpke就這些憑證的發(fā)現(xiàn)與大眾汽車對質(zhì)時,他引述該公司的說法稱,“數(shù)據(jù)的訪問發(fā)生在一個非常復(fù)雜的多層過程中。”
Flüpke說,雖然這沒錯,而且后端并非面向終端用戶,而是用于令牌交換,“但你可以使用任意userID生成一個JWT令牌,這是一個沒有密碼的身份驗(yàn)證令牌。這很有用,因?yàn)槟憧梢越o它一個userID,然后突然你就成了那個用戶。我們無法用此遠(yuǎn)程駕駛汽車,但我們可以使用來自此身份提供者的API進(jìn)行身份驗(yàn)證并訪問用戶數(shù)據(jù)。”
同樣分析了這些數(shù)據(jù)的數(shù)據(jù)記者M(jìn)ichael Kreil在會議發(fā)言中表示,9.5TB的事件數(shù)據(jù)中包含地理數(shù)據(jù)坐標(biāo),其中一些坐標(biāo)的準(zhǔn)確度在10厘米以內(nèi)。它揭示了人們?nèi)ツ睦锷习唷⒑螘r在何處購物、送孩子上哪所學(xué)校,以及執(zhí)法人員的住處等信息。
Flüpke說,在數(shù)據(jù)泄露事件發(fā)生后,大眾汽車在得知這一問題后立即使AWS憑證失效。