Los datos de contacto y los de movimento de 800.000 vehículos eléctricos de Volkswagen Group están desprotegidos

el
 Volkswagen Group registra datos de contacto y movimiento con CARIAD  de 800.000 vehículos eléctricos, esos datos están desprotegidos

El Chaos Computer Club (CCC) revela que el Grupo Volkswagen registra sistemáticamente datos de movimiento de cientos de miles de vehículos VW, Audi, Skoda y Seat y los almacena durante largos períodos de tiempo. Los datos, incluida la información sobre los propietarios de vehículos, también estaban disponibles sin protección en Internet.

A través de los datos de movimiento, Volkswagen obtiene información sobre la vida privada cotidiana, y especialmente no cotidiana, de cientos de miles de propietarios de vehículos. 

 Después de configurar la aplicación, el automóvil aparentemente comienza a recopilar y transmitir datos al fabricante, incluidos datos GPS precisos de su ubicación de estacionamiento cada vez que apagaba el motor. Se creó un conjunto de datos a partir del cual se puede crear fácilmente un perfil de movimiento detallado de su vida cotidiana. 

 Un volumen de varios terabytes de datos sobre alrededor de 800.000 durante meses en el almacenamiento en la nube de Amazon coches eléctricos estuvo en gran medida desprotegido y accesible . Se ven afectados VW, Seat, Audi y Skoda Los vehículos en Alemania, Europa y otras partes del mundo . Y muchos de sus dueños. Porque muchos de los datos del vehículo pueden vincularse a los nombres y datos de contacto de los conductores, propietarios o gestores de flotas. Se pudieron consultar datos precisos de la ubicación de 460.000 vehículos, lo que permitió sacar conclusiones sobre la vida de las personas al volante

No sólo se ven afectados los particulares, sino también la dirección de flotas, los miembros de los consejos de administración y de supervisión de las empresas DAX, así como diversas autoridades policiales en Europa. Por ejemplo, los datos de movimiento de 35 patrulleros eléctricos de la policía de Hamburgo se registraron y almacenaron en la plataforma VW para que terceros los pudieran ver.

También se registraron datos confidenciales sobre actividades de inteligencia y militares: entre otros, se encontraron conjuntos de datos del estacionamiento del Servicio Federal de Inteligencia (BND) y del aeródromo militar de la Fuerza Aérea de los Estados Unidos en Ramstein.

La información recopilada por Cariad, filial de VW, incluye información precisa sobre el lugar y la hora en que se apagó el encendido. Los datos de movimiento están vinculados a otros datos personales. Esto también permite sacar conclusiones sobre proveedores, prestadores de servicios, empleados u organizaciones fachada de las autoridades de seguridad.

"El problema es que estos datos se recopilan y se almacenan durante un período de tiempo tan largo. El hecho de que estuvieran mal protegidos no hace más que agravar el daño". dijo Linus Neumann, portavoz del Chaos Computer Club.

 Y todo porque la filial de VW, Cariad, que en su día se creó para desarrollar una plataforma prometedora para todos los vehículos eléctricos del grupo con miles de desarrolladores de software, cometió un error el verano pasado y ni siquiera se dio cuenta.

Los datos de contacto y los de movimento de 800.000 vehículos eléctricos de Volkswagen Group están desprotegidos
Los datos de contacto y los de movimento de 800.000 vehículos eléctricos de Volkswagen Group están desprotegidos

 

 

Valioso para estafadores y chantajistas

Según la investigación de SPIEGEL se ven afectados otros políticos, empresarios, la policía de Hamburgo con sus alrededor de 35 coches patrulla eléctricos y presuntos empleados de los servicios de inteligencia . Muy pocos de ellos se habrían dado cuenta de lo vidriosos que están en sus vehículos.

Para aproximadamente la mitad de los afectados, incluidos los propietarios de los modelos VW ID.3 e ID.4, los datos son especialmente detallados. Muestran cuándo se encendió el vehículo respectivo y cuándo y dónde exactamente se apagó. La mayoría de los datos provienen de 2024, algunos se remontan a más atrás. 

 Los delincuentes o espías podrían obtener perfiles de movimiento detallados a partir de estos datos. Para los servicios secretos extranjeros podría ser interesante saber quién es el coche que cada día entre las 8.00 y las 17.00 horas está aparcado en las proximidades de los edificios del Servicio Federal de Inteligencia o conducido a la base aérea militar de la Fuerza Aérea de los EE.UU. en Ramstein : así lo revelan los datos de Cariad. 

Los estafadores podrían haber utilizado los datos para generar correos electrónicos de phishing creíbles en los que, por ejemplo, se hacían pasar por Volkswagen, un proveedor o una filial para solicitar una tarjeta de crédito u otra información de pago

 Un equipo de SPIEGEL formado por expertos en TI y periodistas pudo comprender de antemano la vulnerabilidad. El acceso no habría supuesto un desafío importante para los servicios de inteligencia, para espiar a los competidores de VW, a los delincuentes o incluso a los adolescentes aburridos.

Todo estaba ahí, sólo había que saber dónde buscar. No fueron necesarios más que unos pocos programas informáticos disponibles gratuitamente , que son herramientas estándar para piratas informáticos y expertos en seguridad informática.  


 

En pocas palabras, hicieron posible encontrar sitios web específicos de Cariad y sus subpáginas mediante conjeturas sistemáticas, incluso si son parcialmente invisibles para los usuarios normales. Esto hacía visibles caminos que conducían directamente a archivos cuyos finales indicaban que podían tener contenido explosivo. Una de estas rutas conducía a una copia del volcado de memoria actual de una aplicación interna de Cariad. Un archivo de este tipo no debería estar en Internet abierto, o al menos no sin protección con contraseña. Los programas y procesos de seguridad modernos deberían reconocer tal falla. Como este no era el caso con Cariad, los atacantes podrían simplemente descargar el volcado de memoria y abrirlo. En el interior se encontraban –fácilmente de encontrar– los datos de acceso al almacenamiento en la nube de Amazon. 

 

El propio almacenamiento en la nube contenía los datos de cada vehículo, reconocibles inmediatamente por los nombres del nivel de carga de la batería, el estado de inspección y las categorías "motor encendido" y "motor apagado". Estas últimas contenían no sólo la hora sino también la longitud. y líneas de latitud y, por tanto, la posición del vehículo al apagar el motor eléctrico. En el caso de los modelos VW y Seat, estos datos geográficos tenían una precisión de diez centímetros, y para los Audi y Skoda tenían una precisión de diez kilómetros y, por lo tanto, eran menos problemáticos.

Se encontraron más datos de acceso en otra parte, esta vez para un servicio propiedad de VW. Con él, los propietarios de automóviles pueden crear un perfil personal utilizando la aplicación y vincularlo a su vehículo. Estos datos de acceso permitieron consultar la base de datos de VW para todos los usuarios registrados de la aplicación y vincularlos al primer conjunto de datos del automóvil. Esto significaba que se podían asignar datos detallados de movimiento a personas individuales, incluidas direcciones de correo electrónico y, en algunos casos, direcciones y números de teléfono móvil.
 
 

El caso va mucho más allá de Cariad y el Grupo VW. Muchos automóviles modernos tienen un número de sensores de tres dígitos y recopilan una gran cantidad de datos. Sólo los fabricantes deberían saber exactamente cuáles y en qué medida.

Una muestra ADAC de cuatro tipos de vehículos de BMW, Renault y Mercedes mostró que la Clase B transmite su ubicación actual a Mercedes cada dos minutos. Además, se informa del kilometraje, el nivel del depósito, la presión de los neumáticos y el número de aprietes del cinturón: toda información que permite sacar conclusiones sobre el estilo de conducción. Después de apagarlo, el BMW i3 examinado transmitió, entre otros datos, datos detallados sobre el estado de la batería y la posición de las 16 estaciones de carga utilizadas anteriormente.

 

La Fundación Mozilla, una organización sin fines de lucro que aboga por el software libre y es conocida por su navegador Firefox, examinó las prácticas de recopilación de datos de 25 marcas de automóviles en 2023. La aterradora conclusión: "Los coches modernos son una pesadilla para la privacidad".

Todas las marcas examinadas recopilaron más datos de los necesarios. El 76 por ciento dijo que podía revenderlos. Además, el 68 por ciento de las marcas examinadas habían tenido un impacto negativo con hackeos, incidentes de seguridad o fugas de datos en los tres años anteriores. La fundación analiza un “balance vergonzoso”.

Otros fabricantes también tienen problemas de seguridad informática

VW está lejos de ser el único fabricante de automóviles que tiene importantes problemas de seguridad debido a la avalancha de datos. En enero de 2023, un equipo liderado por el hacker Sam Curry, de 23 años, de Omaha, Nebraska, demostró cómo podían acceder a cualquier cuenta de usuario de empleados y concesionarios de BMW y ver documentos de ventas. También llegó al chat de la empresa Mercedes-Benz.

Las brechas de seguridad que los hackers descubrieron en KIA fueron aún más graves: pudieron desbloquear e incluso arrancar de forma remota los vehículos del fabricante surcoreano. Afortunadamente, Curry y su equipo eran los llamados hackers de sombrero blanco que actuaron como lo hizo el Chaos Computer Club en el caso Cariad: informaron con antelación a las empresas afectadas y se cerraron las vulnerabilidades.

El llamado hackeo de Jeep es casi legendario entre los investigadores de seguridad. En 2015, dos especialistas en TI accedieron a la electrónica del vehículo de forma remota a través del módulo de teléfono móvil integrado y pudieron controlar de forma remota los frenos, la velocidad y la radio. La campaña llevó al fabricante a retirar 1,4 millones de coches del taller para protegerlos de este tipo de ataques con una actualización de software. 

 Los fabricantes están perdiendo poco a poco el control de los datos. En mayo, el Tribunal Regional de Colonia dictaminó que no se debería dificultar el acceso de los talleres de reparación de vehículos independientes a la información sobre reparaciones. Los fabricantes de automóviles independientes se quejaron de que algunos fabricantes los obligaban a comprar licencias costosas para poder acceder a los datos del vehículo y a la memoria de errores.

La UE también abordó la cuestión en su nueva Ley de Datos , que pasará a ser ley aplicable en toda la UE en septiembre de 2025. A pesar de los esfuerzos de lobby de las empresas automotrices para mantener la soberanía de los datos en sus manos, Bruselas decidió que los propietarios de automóviles deberían tener más control sobre los datos que generan. Después de eso, los fabricantes tendrán que al menos proporcionarles un acceso sencillo y gratuito en el futuro. a sus propios datos – y así hacer que sus prácticas de recopilación sean más transparentes.

 Vía Spiegel

Compartiendo este artículo usted puede ayudar a difundir valor a otros que están buscando este tipo de información. Si valora el trabajo que hacemos en Valenciacars para usted y le resulta útil, le queremos pedir un gran favor: por favor comparta el artículo en WhatsApp, en Facebook , en Twitter y sus demás redes


















Linkedin:valenciacars
Instagram:@valenciacars1
Facebook:Valenciacars

Temas:valenciacars1
Twitter:@Valenciacars1

Google Noticias: https://news.google.com/publications/CAAqBwgKMMa1tQsw09DMAw?ceid=ES:es&oc=3




Sigue el canal de Valenciacars en WhatsApp: https://whatsapp.com/channel 

 



Así,que Volkswagen Group registra datos de contacto y movimiento con CARIAD de 800.000 vehículos eléctricos, esos datos están desprotegidos

Publicado por

Comentarios

Publicar un comentario