Volkswagen Grubu'nun bir yan kuruluşu, gizli servislerin, rakiplerin, suçluların veya “sıkılmış gençlerin” çok fazla zorluk yaşamadan bu verilere erişebilmesi için 800.000 elektrikli otomobilin hareketlerine ilişkin son derece ayrıntılı verileri Amazon'un bulutunda sakladı. Der Spiegel bunu Kaos Bilgisayar Kulübü (CCC) ile işbirliği içinde yapılan bir araştırmaya atıfta bulunarak bildiriyor. Veriler, kimliği bilinmeyen bir ihbarcı tarafından keşfedildi ve diğer şeylerin yanı sıra, Aşağı Saksonya bölge parlamentosunun bir üyesi ve Federal Meclis'in bir üyesinin verileri kullanılarak doğrulandı.
Duyuru
Farklı VW markalarına ait araçlara ilişkin veriler
Veriler, otomobil üreticisinin yazılım geliştirmesinden sorumlu VW yan kuruluşu Cariad tarafından toplandı. Bir “yanlış yapılandırma” nedeniyle veriler düzgün şekilde yedeklenmedi. Spiegel'e göre bu, VW, Seat, Audi ve Skoda araçlarının konumlarına ilişkin birkaç terabaytlık veriyi içeriyor. Bu veriler, araçların durumu hakkında çeşitli bilgilere ulaşmak için kullanılan Volkswagen uygulaması tarafından toplandı. 460.000 araç üzerinde toplanan veriler o kadar kesin ki, direksiyon başındaki insanların hayatları hakkında çıkarımlarda bulunulmasına olanak sağlıyor. VW ve Seat modellerinin coğrafi verileri on santimetrelik bir doğruluğa sahiptir.
Araştırmaya göre bazı veriler araç sahiplerinin kişisel profilleriyle ilişkilendirilebilir. Bazı durumlarda ayrıntılı hareket verileri adresler ve cep telefonu numaralarıyla bile desteklenebilirdi. CCC sözcüsü Linus Neumann “bir paspasın altında çok küçük bir sürü anahtar bulunduğunu” söylüyor. Cariad, verilerin “pilleri ve ilgili yazılımı iyileştirmek için” toplandığını açıkladı. Açıklanan kombinasyon hiçbir zaman bireysel kişiler hakkında sonuçlar çıkarılabilecek veya hareket profilleri oluşturulabilecek şekilde gerçekleştirilmedi.
Önemli “yapılandırma hatası”.
Erişilebilir verilerin toplanması konusunda CCC'ye bilgi verildikten sonra diğerlerinin yanı sıra Cariad ve VW Grubu genel merkezlerine de bilgi verildi. Şube birkaç saat içinde yanıt verdi ve olayın boyutunu küçümsemeye bile çalışmadı. Artık boşluk kapandı ve yetkisiz kişiler artık verilere erişemiyor. Rapora göre “yanlış yapılandırma”, bir Cariad uygulamasının mevcut bellek dökümünün bir kopyasıydı. Bu, hareket verilerinin bulunduğu Amazon'un bulut depolama alanına erişim verilerini içeriyordu.
Spiegel, verileri kullanarak yetkisiz kişilerin örneğin hangi araçların gizli servisin veya ABD askeri binalarının önüne düzenli olarak park edildiğini ve bunların kime ait olduğunu belirleyebileceğini açıklıyor. Ayrıca hangi arabaların düzenli olarak bir genelevin, bir hapishanenin veya bir uyuşturucu kliniğinin önünde durup şantaj girişimlerini başlattığı da öğrenilebilirdi. Veriler aynı zamanda takip için de son derece yararlı olabilirdi. Cariad'a göre mevcut bilgi itibarıyla CCC dışında üçüncü tarafların verilere eriştiğine dair bir kanıt bulunmuyor. Ancak analiz henüz tamamlanmadı.
(mho)
Duyuru
Farklı VW markalarına ait araçlara ilişkin veriler
Veriler, otomobil üreticisinin yazılım geliştirmesinden sorumlu VW yan kuruluşu Cariad tarafından toplandı. Bir “yanlış yapılandırma” nedeniyle veriler düzgün şekilde yedeklenmedi. Spiegel'e göre bu, VW, Seat, Audi ve Skoda araçlarının konumlarına ilişkin birkaç terabaytlık veriyi içeriyor. Bu veriler, araçların durumu hakkında çeşitli bilgilere ulaşmak için kullanılan Volkswagen uygulaması tarafından toplandı. 460.000 araç üzerinde toplanan veriler o kadar kesin ki, direksiyon başındaki insanların hayatları hakkında çıkarımlarda bulunulmasına olanak sağlıyor. VW ve Seat modellerinin coğrafi verileri on santimetrelik bir doğruluğa sahiptir.
Araştırmaya göre bazı veriler araç sahiplerinin kişisel profilleriyle ilişkilendirilebilir. Bazı durumlarda ayrıntılı hareket verileri adresler ve cep telefonu numaralarıyla bile desteklenebilirdi. CCC sözcüsü Linus Neumann “bir paspasın altında çok küçük bir sürü anahtar bulunduğunu” söylüyor. Cariad, verilerin “pilleri ve ilgili yazılımı iyileştirmek için” toplandığını açıkladı. Açıklanan kombinasyon hiçbir zaman bireysel kişiler hakkında sonuçlar çıkarılabilecek veya hareket profilleri oluşturulabilecek şekilde gerçekleştirilmedi.
Önemli “yapılandırma hatası”.
Erişilebilir verilerin toplanması konusunda CCC'ye bilgi verildikten sonra diğerlerinin yanı sıra Cariad ve VW Grubu genel merkezlerine de bilgi verildi. Şube birkaç saat içinde yanıt verdi ve olayın boyutunu küçümsemeye bile çalışmadı. Artık boşluk kapandı ve yetkisiz kişiler artık verilere erişemiyor. Rapora göre “yanlış yapılandırma”, bir Cariad uygulamasının mevcut bellek dökümünün bir kopyasıydı. Bu, hareket verilerinin bulunduğu Amazon'un bulut depolama alanına erişim verilerini içeriyordu.
Spiegel, verileri kullanarak yetkisiz kişilerin örneğin hangi araçların gizli servisin veya ABD askeri binalarının önüne düzenli olarak park edildiğini ve bunların kime ait olduğunu belirleyebileceğini açıklıyor. Ayrıca hangi arabaların düzenli olarak bir genelevin, bir hapishanenin veya bir uyuşturucu kliniğinin önünde durup şantaj girişimlerini başlattığı da öğrenilebilirdi. Veriler aynı zamanda takip için de son derece yararlı olabilirdi. Cariad'a göre mevcut bilgi itibarıyla CCC dışında üçüncü tarafların verilere eriştiğine dair bir kanıt bulunmuyor. Ancak analiz henüz tamamlanmadı.
(mho)