Fizyczne lokalizacje ~800000 samochodów elektrycznych dostępne były ~publicznie. Terabajty danych. Jak do tego doszło?

Jak czytamy w prezentacji niemieckich badaczy:

1. Udało się odnaleźć „ciekawą domenę” (adres internetowy), używaną przez jedną ze spółek grupy Volkswagen (narzędzie: subfinder)

2. Na tej domenie badacze wykonali atak 'bruteforce’ na dostępne tam publicznie katalogi/pliki (narzędzie: feroxbuster lub gobuster)

3. Odnaleźli tam pozostawioną „konsolę debug” – czyli /actuator/heapdump❗

4. To znany zasób umożliwiający diagnostyczny zrzut pamięci z serwera. A w pamięci badacze znaleźli klucze API (secretKey / accessKey) – dające dostęp do amazonowego zasobu S3, zawierającego tytułowe dane.

Uwaga na boku – nie było to do końca tak, jak relacjonuje większość mediów – tj. że dane te były „całkiem publicznie dostępne”. Aby uzyskać dostęp należało się (ale tylko troszkę) postarać, czyli deko pohackować.

Dane zawierały informacje o samochodach marek Audi, Skoda, Seat, VW, a ilość pozyskanych danych to terabajty. Wg badaczy zawierały one takie informacje jak:

* Dane geolokalizacyjne samochodów (dla ~450 000 samochodów dane te były dostępne z dość dużą dokładnością). Dane te były zapisywanie w momencie wyłączenia silnika i dodatkowo opatrywane były dokładnym czasem. W przypadku Audi oraz Skód dane geolokalizacyjne były mniej dokładne – około 10 km.

* Różne dane diagnostyczne (np. moment włączenia/wyłączenia silnika, utrata ciśnienia w oponach, temperatura baterii, …)

Dane geolokalizacyjne udało w pewnych przypadkach dopasowywać do konkretnych osób. Cytat:

Further access data was found elsewhere, this time for a VW-specific service. (…). This access data allowed VW’s database to be queried for all registered users of the app – and linked to the first car data set. This made it possible to assign the detailed movement data to individual people, including email addresses and, in some cases, addresses and cell phone numbers.

Firma Cariad tłumaczy się, że dane o których mowa, były poddane „pseudonimizacji” i żeby połączyć geolokalizację z konkretnymi osobami trzeba było trochę „pohackować”:

The IT security researchers only managed to do this by „bypassing several security mechanisms,” „which required a high level of expertise and a considerable amount of time, as well as by combining different data sets.”

Cariad dodaje również, że sprawa dotyczy samochodów które były podłączone do internetu zarejestrowane w usługach on-line (registered for online services). Błąd został po zgłoszeniu szybko załatany i wg informacji od Cariad nikt nieautoryzowany – poza badaczami z CCC – nie uzyskał dostępu do danych.

Co możemy z tego wpisu się nauczyć?

✅ Głównym problemem był tutaj niezabezpieczony zasób debug na jednym z serwerów /actuator/heapdump (jeśli używacie Spring Boot-a – to może jest to dostępne i na Waszych serwerach… warto sprawdzić).
✅ Dane chyba jednak nie zostały poddane odpowiednio mocnej „pseudonimizacji” (mowa głównie o geolokalizacji).

~Michał Sajdak