Cariad, la empresa de software para automóviles de Volkswagen, ha expuesto datos recopilados de alrededor de 800.000 coches eléctricos. La información podría vincularse a los nombres de los conductores y revelar la ubicación precisa de los vehículos.
Terabytes de datos de clientes de Volkswagen almacenados en la nube de Amazon permanecieron desprotegidos durante meses, lo que permitió a cualquier persona con pocos conocimientos técnicos rastrear los movimientos de los conductores o recopilar información personal.
Las bases de datos expuestas incluyen detalles de vehículos VW, Seat, Audi y Skoda, con datos de geolocalización de algunos de ellos con una precisión de unos pocos centímetros.
Datos precisos de geolocalización
El acceso a los datos del vehículo fue posible debido a una configuración incorrecta de Cariad en dos aplicaciones informáticas, dijo un representante de la compañía a BleepingComputer.
Cariad fue informada de este asunto el 26 de noviembre por el Club de informática del caos (CCC), la mayor organización de hackers éticos de Europa que lleva más de 30 años promoviendo la seguridad, la confidencialidad y el libre acceso a la información.
Según una publicación alemana spiegelLa CCC descubrió la vulnerabilidad a través de un denunciante y probó el acceso inseguro antes de informar a los responsables Cariad y Volkswagen y proporcionar detalles técnicos.
En una declaración a BleepingComputer, un representante de Cariad dijo que los datos expuestos solo se relacionaban con vehículos conectados a Internet y se registraron para servicios en línea.
De los casi 800.000 vehículos expuestos, los investigadores encontraron datos de geolocalización de 460.000 coches, algunos con una precisión de diez centímetros.
Poco más de 30 vehículos formaban parte de la flota de patrullas de la policía de Hamburgo, mientras que otros pertenecían a presuntos empleados del servicio de inteligencia, informa Spiegel.
La compañía dijo que los piratas informáticos de CCC sólo podían acceder a los datos después de eludir varios mecanismos de seguridad que requerían mucho tiempo y experiencia técnica.
Además, debido a que los datos de los vehículos individuales fueron seudonimizados por motivos de privacidad, los piratas informáticos tuvieron que combinar diferentes conjuntos de datos para asociar los detalles con un usuario en particular.
Sin embargo, Spiegel reunió a un equipo de expertos en informática y periodistas que encontraron información de ubicación recopilada de los coches de dos políticos alemanes, Nadja Weippert y el miembro del Bundestag Markus Grübel, utilizando un software disponible de forma gratuita.
Las herramientas buscaron activos de Cariad expuestos que contenían archivos que contenían información confidencial, lo que llevó a encontrar una copia de un volcado de núcleo de una aplicación interna de Cariad.
Dentro del volcado de memoria, los piratas informáticos descubrieron claves de acceso a una instancia de almacenamiento en la nube en Amazon donde Cariad guardaba los datos recopilados de los vehículos de los clientes del Grupo Volkswagen.
Spiegel informa que algunos datos se referían a la longitud y latitud de los coches cuando el motor eléctrico estaba apagado.
“Para los modelos VW y Seat, estos datos geográficos tenían una precisión de diez centímetros, y para Audi y Skoda, de diez kilómetros, lo que por lo tanto era menos problemático” – spiegel
La mayoría de los vehículos afectados, 300.000, se encontraban en Alemania, pero los investigadores también encontraron detalles de automóviles en Noruega (80.000), Suecia (68.000), Reino Unido (63.000), Países Bajos (61.000), Francia (53.000), Bélgica ( 68.000) y Dinamarca (35.000).
Solución rápida tras una divulgación responsable
Cariad le dijo a BleepingComputer que su equipo de seguridad respondió rápidamente para resolver el problema y cerró el acceso el mismo día que la CCC les envió el informe.
Los representantes de CCC confirmaron a Spiegel que “el equipo técnico de Cariad respondió de forma rápida, exhaustiva y responsable” y que la empresa respondió pocas horas después de recibir los detalles técnicos.
Según los resultados de su investigación, Cariad no tiene pruebas que sugieran que otras partes, además de los piratas informáticos de la CCC, hayan tenido acceso a los datos del vehículo expuestos o que un tercero haya utilizado indebidamente la información.
La empresa también señala que la CCC sólo tuvo acceso a los datos recopilados sobre los vehículos y no pudo acceder a los propios coches.
Cariad indica que los clientes de las marcas del Grupo Volkswagen pueden aceptar el uso de productos y servicios que requieran el procesamiento de datos personales y pueden desactivar esta opción en cualquier momento.
Sin embargo, la empresa señala que los datos recopilados de los vehículos le ayudan a “entregar, desarrollar y mejorar funciones digitales” para sus clientes, así como a crear beneficios adicionales.
“Sin estos datos, no se podrían proporcionar, optimizar ni ampliar funciones inteligentes, digitales y personalizadas” – Cariad
Como ejemplo, la empresa explica que el comportamiento de los clientes y los hábitos de carga son anónimos y ayudan a optimizar las futuras generaciones de baterías y software de carga.
Al mismo tiempo, los datos recogidos se almacenan en la nube con el fin de proteger la identidad del cliente y sus movimientos con el vehículo.
“Las marcas del Grupo Volkswagen recopilan, almacenan, transmiten y utilizan datos personales exclusivamente en el marco de las normas legales y de una relación contractual existente, intereses legítimos o el consentimiento explícito del cliente”, explica Cariad.
El fabricante de software para automóviles también dice que utiliza fuertes prácticas de protección de datos que incluyen el almacenamiento de puntos de datos por separado, derechos de acceso restrictivos, seudonimización y anonimización, y agregación y procesamiento de datos dentro del marco de los fines declarados.