分析師表示，大眾汽車未能達(dá)到數(shù)據(jù)安全方面的監(jiān)管要求，甚至違反了其自身的服務(wù)條款。

據(jù)12月27日混沌計算機(jī)俱樂部(Chaos Computer Club)就該事件發(fā)布的報告，未能妥善保護(hù)其亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)環(huán)境的訪問權(quán)限是近期大眾汽車大規(guī)模數(shù)據(jù)泄露的根本原因之一。

幫助揭露此次泄露的安全分析師表示，這家市值3510億美元的汽車制造商未對來自超過1500萬輛注冊車輛的敏感客戶數(shù)據(jù)進(jìn)行截斷或加密，從而違反了其自身的服務(wù)條款以及監(jiān)管要求，特別是《通用數(shù)據(jù)保護(hù)條例》(GDPR)。

名為Flüpke的IT安全分析師告訴聽眾：“他們收集的數(shù)據(jù)太多了。如果你想評估電池安全性，那么你不需要位置數(shù)據(jù)。”

他指出，大眾汽車收集的數(shù)據(jù)包含廣泛的信息，包括用戶數(shù)據(jù)(如姓名、電子郵件地址、出生日期和實(shí)際地址)、汽車數(shù)據(jù)(如車輛識別碼、型號、年份和完整用戶ID)，以及電動車(EV)數(shù)據(jù)點(diǎn)(如里程表讀數(shù)、電池溫度、電池狀態(tài)、充電狀態(tài)和警示燈數(shù)據(jù))。

車輛保留數(shù)太字節(jié)關(guān)于駕駛員的敏感信息這一問題并非新鮮事，但最近情況變得更為嚴(yán)重，部分原因是電動車收集的信息要多得多。有關(guān)車輛數(shù)據(jù)保留問題的報道早在四年多前就開始出現(xiàn)。

問題在于，汽車制造商被要求保留其中一些數(shù)據(jù)。例如，F(xiàn)lüpke指出，自2018年以來，歐盟已要求收集和共享一些車輛數(shù)據(jù)，這是歐盟為在發(fā)生嚴(yán)重事故時自動向涉事車輛提供援助所做努力的一部分。

Flüpke表示，他通過結(jié)合使用包括Subfinder、GoBuster和Spring在內(nèi)的各種編碼工具發(fā)現(xiàn)了大眾汽車的數(shù)據(jù)問題。使用這些工具，F(xiàn)lüpke說他能夠從大眾汽車內(nèi)部環(huán)境中檢索到Heap Dump文件，因?yàn)樗鼪]有密碼保護(hù)。Heap Dump文件列出了Java虛擬機(jī)(JVM)中的各種對象，可以揭示內(nèi)存使用的詳細(xì)信息。這本應(yīng)用于監(jiān)控性能指標(biāo)和進(jìn)行自省檢查。

在該Heap Dump文件中，以明文形式列出了各種有效的AWS憑證。當(dāng)Flüpke就這些憑證的發(fā)現(xiàn)與大眾汽車對質(zhì)時，他引述該公司的說法稱，“數(shù)據(jù)的訪問發(fā)生在一個非常復(fù)雜的多層過程中。”

Flüpke說，雖然這沒錯，而且后端并非面向終端用戶，而是用于令牌交換，“但你可以使用任意userID生成一個JWT令牌，這是一個沒有密碼的身份驗(yàn)證令牌。這很有用，因?yàn)槟憧梢越o它一個userID，然后突然你就成了那個用戶。我們無法用此遠(yuǎn)程駕駛汽車，但我們可以使用來自此身份提供者的API進(jìn)行身份驗(yàn)證并訪問用戶數(shù)據(jù)。”

同樣分析了這些數(shù)據(jù)的數(shù)據(jù)記者M(jìn)ichael Kreil在會議發(fā)言中表示，9.5TB的事件數(shù)據(jù)中包含地理數(shù)據(jù)坐標(biāo)，其中一些坐標(biāo)的準(zhǔn)確度在10厘米以內(nèi)。它揭示了人們?nèi)ツ睦锷习唷⒑螘r在何處購物、送孩子上哪所學(xué)校，以及執(zhí)法人員的住處等信息。

Flüpke說，在數(shù)據(jù)泄露事件發(fā)生后，大眾汽車在得知這一問題后立即使AWS憑證失效。