Przecieki z bazy danych Volkswagena wnioski dotyczące życia ludzi za kierownicą

Zdjęcie: Paul Langrock, Thomas Starck 

Oto dochodzenie przeprowadzone przez SPIEGELA
We wrześniu Nadja Weippert uruchomiła swój nowy samochód - VW ID.3, pobrała także od razu aplikacje Volkswagena. Do tego rozgrzała samochód, aby sprawdzić stan baterii oraz aktualny zasięg. Potrzebna jest aplikacja, aby w pełni korzystać z auta i jego możliwości. 

41-latka zajrzała również do przepisów ochrony danych,  prawdopodobnie nawet bardziej  wnikliwie niż inni – ponieważ nie tylko reprezentuje partię zielonych (die Grünen) w parlamencie w landzie Niedersachsen, ale pełni także rolę rzeczniczki do spraw ochrony danych w swojej frakcji politycznej. Do tego jest prezydentką miasta Tostedt, gminy położonej między Hamburgiem a Bremą. 

Po zainstalowaniu aplikacji jej samochód zaczynał zbierać dane i przesyłać je do producenta, w tym dokładne informacje o położeniu przez GPS-a, a przez sczytywał każde miejsce, w którym silnik był wyłączony. Powstał zbiór danych, na podstawie którego można łatwo odtworzyć szczegółowy codzienny schemat poruszania się danej osoby.

Co można wyczytać z informacji o lokalizacji?
Miejsca w których stały zaparkowane auta, jak na przykład bezpośrednio przed naszym domem, przed szkołą dzieci albo przedszkolem, przed miejscem pracy lub w miejscach gdzie spędzamy wolne chwile takie jak siłownia, sklepy albo domy przyjaciół. Dane zdradzały także czas, od kiedy do kiedy samochód stał nieodpalany, przykładowo z reguły raz do dwóch razy w tygodniu. 


Zdjęcie: pochodzące z mediów społecznościowych

Skąd pochodzą te dane? 
Informacje przedstawione na tej grafice są całkowicie fikcyjne z uwagi ochronę danych osobowych i zostały sporządzone na podstawie oryginalnego zbioru danych w celu wizualizacji. 

Samochód polityczki stał często zaparkowany przed ratuszem miasta Tostedt i przed parlamentem w landzie Niedersachsen, ale także dało się odczytać lokalizacje jej klubu sportowego, ulubionej piekarni i gabinet jej psychoterapeutki – podobnie jak dwudniowy wyjazd na zjazd partyjny do Oldenburga. 

Dane pochodzące z około 800.000 samochodów elektrycznych
Podobna sytuacja była w przypadku Markusa Grübel z Essligen am Necker [1] - posła do parlamentu z partii CDU (Unii chrześcijańsko-demokratycznej. Ustawił sobie pseudonim ,,Kussi”, czasami jego auto stało zaparkowane pod domem starców, w którym mieszkał jego ojciec w sędziwym już wieku. Równie często zatrzymywał się na koszarach. Grübel jest członkiem komisji obrony, do 2018 roku pełnił funkcję sekretarza stanu w Ministerstwie Obrony. Oprócz tego można było oczytać także z danych jego samochodu, kiedy udał się na krótki urlop do Allgäu.[2]

Wszystkie tego rodzaju informacje nie powinny dostawać się do przestrzeni publicznej. A jednak tam pojawiły. Wiele terabajtów zawierających ogromną ilość danych z około 800.000 samochodów elektrycznych były łatwo dostępne i niechronione na chmurze Amazona. Dotknięte tym problemem były pojazdy z marek takich jak VW, Seat, Audi oraz Skoda w Niemczech, Europie oraz innych częściach świata. A oprócz tych pojazdów takż wiele ich użytkowników. 

Informacje z samochodów zawierały imiona, dane kontaktowe kierowców lub właścicieli albo osoby odpowiedzialnej za pojazd. Do 460.000 pojazdów był dokładny wgląd w zapisy lokalizacji, które pozwoliły wyciągnąć wnioski o życiu kierowców – w tym o życiu wyżej wymienionych polityków.

A to wszystko, ponieważ zależna spółka Volkswagena ,,Cariad”, która kiedyś powstała, aby tysiące programistów stworzyło przyszłościową platformę dla samochodów elektrycznych tego koncernu. Zeszłego lata popełniła błąd – którego pracownicy sami nie zauważyli.

Polityczka Weipper – Oczekiwałam, że VW to usunie.
To jest coś więcej niż kłopotliwa awaria  w i tak już pogrążonym koncernie. To jest porażka. Właśnie w kwestii sieci VW jest i tak już daleko w tyle za swoją konkurencją i  to akurat w kwestii bezpieczeństwa danych osobowych, które Niemcy bardzo cenią  w przeciwieństwie do Stanów Zjednoczonych - dużo bardziej pobłażliwych pod tym względem.

Informator podzielił się wiadomościami o poważnych brakach w bezpieczeństwie z klubem Chaos Computer oraz z wydawnictwem SPIEGEL. Nadja Weippert i Markus Grübel wyrazili zgodę na badanie, w którym reporter miał dokładnie zbadać dane pochodzące z ich samochodów. 

,,Byłam zaszokowana” – powiedziała Weippert, Jako SPIEGEL również przedstawiamy lokalizacje z danych pojazdu sprzed ostatnich kilku miesięcy. Jako polityczka angażująca się w politykę krajową a także miejscową jest narażona na hejt i groźby. ,,Nie może tak być, że moje dane są upublicznione na chmurze Amazona i przez to nie są wystarczająco chronione.” Oczekuję, że VW to usunie, generalnie to powinni pozyskiwać mniej danych albo w każdym razie robić to bardziej anonimowo.”

Również Grübel uważa tą aferę z wypłynięciem poufnym danych za ,,irytującą i kłopotliwą”. Nie wzmacnia to wcale zaufania do niemieckiego przemysłu samochodowego. ,,Szczególnie patrząc na elektryki i możliwe manipulacyjne ataki hakerów, w tej chwili sprawdzono kompetencje oddziału IT tego producenta. 

Przydatne dla oszustów i szantażystów
Według dochodzenia SPIEGEL’ a oprócz Pani Weipper, Pana Grübela i innych polityków dotknięci tym problemem zostali także ważni przedstawiciele biznesowi, również hamburska policja przez ich  35 elektryczne radiowozy jak również przypuszczalni pracownicy służb wywiadowczych. Najważniejsi z nich zdawali sobie z tego sprawę, jak łatwo można ich zdemaskować przez to auto. 

Dane ponad połowy poszkodowanych osób, w tym właściciele i właścicielki auta VW ID.3 i ID.4, są bardzo szczegółowe. Z nich jest widoczne, kiedy poszczególne auto było odpalane lub gaszone. W dużej mierze informacje podchodzą z 2024, pozostała część jest nawet starsza.

,,Można to porównać z ogromnym pękiem kluczy, który leżał pod zbyt małą wycieraczką” – Linus Neumann, rzecznik CCC.
Kryminaliści lub szpiedzy mogliby dostać się do tych danych i ułożyć dokładny rozkład jazdy danego auta. Prawdopodobnie zagraniczne wywiady zainteresowałyby się możliwością posiadania wiedzy, czyje auto zatrzymuje się każdego dnia między 8 a 17 w okolicy federalnych służb wywiadowczych lub kto odwiedza lotnisko wojskowe Stanów Zjednoczonych ,,Air Force” w Ramsteinie – Dane z Cariadu zdradzają to wszystko.

Nie trzeba wcale myśleć jak agent z filmów szpiegowskich. Oszuści mogliby z tych danych wiarygodny wygenerować wiadomości zwane ,,Phishingmails” , w których poszywaliby się za  przykładowo Volkswagena, kooperanta lub zależną spółkę, aby uzyskać PIN do karty kredytowej lub inne informacje dotyczące płatności. Szantażyści mogliby wziąć za swój cel tych właścicielu pojazdów, którzy regularnie zatrzymują się na parkingu dużego domu publicznego Artemis, więzienia albo kliniki leczenia uzależnień.

Stalkerzy i zazdrośni byli partnerzy mogliby rozpoznać, gdzie ktoś przenocował. Ponieważ było widoczne również przemieszczanie się aut na Ukrainie i w Izraelu, dane mogły także nawet zostać wykorzystane w sprawach militarnych – to zależy od tego, czy za kierownicą siedziała osoba, która mogła stać się celem.

Pochwała od CCC
Gdy Chaos Computer Club (CCC) dowiedział się o luce w bezpieczeństwie, dwóch rzeczników klubu, Linus Neumann i Matthias Marx, zgłosili się do Cariad z odpowiednim ostrzeżeniem oraz szczegółowymi informacjami technicznymi. Napisali także do centrali koncernu Volkswagena, do krajowego inspektora ochrony danych Dolnej Saksonii, Federalnego Ministerstwa Spraw Wewnętrznych oraz innych organów bezpieczeństwa.

Jako pośrednik CCC od wielu lat zawiadamia osoby odpowiedzialne za to o lukach w bezpieczeństwie  w systemach IT, jeśli zrobi to dokładnie – bez interesów finansowych i jako cel, aby podwyższyć ogólne bezpieczeństwo IT. CCC dało firmie 30 dni, żeby załatać dziury w ochronie danych, potem będą sami publicznie informować oraz ostrzegać.

Cariad zareagował w przeciągu kilku godzin i nie próbował bagatelizować sprawy. Zespół odpowiedzialny za braki w bezpieczeństwie podziękował i poprosił o dalsze szczegóły. Obecnie braki zostały uzupełnione. Rzecznik CCC, Neumann pochwalił ich ,,Zespół techniczny Cariad zareagował szybko, dokładnie i odpowiedzialnie.”

Zespół SPIEGEL’a złożony z ekspertów IT i dziennikarzy był w stanie wcześniej odtworzyć tę lukę. Dostanie się do niej nie byłoby problemem ani dla służb wywiadowczych, ani dla szpiegów konkurencji VW, przestępców, czy nawet znudzonych nastolatków.

Wszystko było widoczne na pierwszy rzut oka, wystarczyło tylko wiedzieć, gdzie szukać. Nie były potrzebne więcej niż kilka ogólnodostępnych programów komputerowych, które są standardowymi narzędziami zarówno dla przestępczych kryminalistów jak i ekspertów do spraw bezpieczeństwa IT.

Mówiąc w uproszczeniu dzięki nim i ich systematycznym poradom było możliwe, aby znaleźć określone strony internetowe i ich podstrony od Cariadu, choćby były one niewidoczne dla normalnych użytkowników. W ten sposób stały się widoczne ścieżki prowadzące bezpośrednio do plików, z których rozpoznano już na końcu, że mogą zawierać kontrowersyjne treści. Jedna ze ścieżek doprowadziła do kopii aktualnego zrzutu pamięci wewnętrznego programu Cariad.  Tego rodzaju dane nigdy nie powinny trafić do internatu, a przynajmniej nie bez haseł. Nowoczesne programy i procesy bezpieczeństwa powinny wykrywać tego typu zaniedbania. Ponieważ w przypadku Cariad tak się nie stało, atakujący mogli po prostu pobrać i otworzyć zrzut pamięci. Wewnątrz były łatwe do znalezienia dane dostępu do pamięci w chmurze Amazona.

Zapiski w chmurze nie zawierały wyłącznie danych pojedynczych pojazdów, można było odczytać nawet stan baterii, status przeglądu, a także, kiedy silnik był włączony lub wyłączony, ta ostatnia kategoria zawierała nie tylko czas, długość i szerokość geograficzną, a przez to miejsce samochodu w momencie, gdzie silnik był wyłączony. W przypadku modeli Volkswagena i Seata informacje geograficzne były dokładne do 10 centymetrów, natomiast u Audi i Skody do 10 kilometrów, co było mniej problematyczne. 

W innym miejscu znalazły się kolejne dane dostępu, tym razem do obsługi VW. Dzięki nim właściciele samochodów mogą zakładać osobiste profile w aplikacji i połączyć się ze swoimi autami. Te informacje dostępu pozwalały na to, aby przeszukać bazę danych Volkswagena i znaleźć wszystkich zarejestrowanych użytkowników i użytkowniczki aplikacji a następnie powiązać je z pierwszym zestawem danych dotyczących samochodów. Więc można było przyporządkować dane mówiące o  poruszaniu się poszczególnej osoby, znaleźć adres e-mail, a po części także adres zamieszkania i numer telefonu. Linus Neumann z CCC porównał to z ,,ogromnym pękiem kluczy, który leżał pod zbyt małą wycieraczką”. 

Cariad mówi o błędnej konfiguracji
Ale po co Cariad zbierał w ogóle te wszystkie dane? Firma przekazała SPIEGELOWI, że to ,,pseudonimowane dane dotyczące zachowania i nawyków ładowania klientów” są wykorzystywane do udoskonalenia baterii i powiązanymi z nią poprogramowaniami. Cariad podkreśla, że dane w ramach koncernu nigdy nie są ze sobą połączone w taki sposób, ,,aby możliwe było wyciągnięcie wniosków dotyczących poszczególnych osób lub odtwarzanie ich schematu poruszania się.”

Według badaczy bezpieczeństwa IT było to możliwe jedynie dzięki ,,obejściu kliku mechanizmów bezpieczeństwa”, co wymagało wysokiego poziomu specjalistycznej wiedzy i znacznego nakładu czasu”, a także połączenia różnych rejestrów danych. Firma woli mówić o ,,błędnej konfiguracji” zamiast o dziurach w bezpieczeństwie. Analiza tego incydentu jeszcze się nie skończyła, ale ,,według aktualnego stanu wiedzy nikt poza CCC nie miał dostępu do tych systemów i nic nie wskazuje na to aby nastąpiło nadużycie danych przez osoby trzecie”.

Klienci ,,nie muszą podejmować żadnych działań, gdyż nie dotyczy to wrażliwych informacji, takich jak hasła czy dane płatnicze”. Mogą jednak ,,zasadniczo sami decydować, czy chcą korzystać z produktów i usług, które wymagając przetwarzania danych osobowych. Wszystkie pojazdy z funkcjami dotyczącymi połączenia internetowego oferują możliwość, aby w każdej chwili z nich zrezygnować.

Sprawa wykracza daleko poza Cariad i koncern VW. Wiele nowoczesnych aut jest wyposażonych w setki czujników oraz gromadzą ogromne ilości danych. Jedynie producenci wiedzą, jakie dane są dokładnie zbierane i w jakim zakresie.

Próba przeprowadzana prze ADAC na czterech modelach samochodów marek: BMW, Renault oraz Mercedesa wykazała, że na przykład klasa B co dwie minuty przesyła swoją aktualną lokalizację do bazy Mercedesa. Do tego jest to raport zawierający informacje o przebiegu, poziomie paliwa, ciśnieniu w oponach i liczbie aktywacji zapinaczy pasów bezpieczeństwa, co pozwala wyciągać wnioski na temat stylu jazdy. Zbadany model BMW i3 po zgaszeniu auta przesłał mi.in dane o stanie baterii, a także lokalizację 16-tu ostatnich użytych stacji ładowania.

Fundacja Mozilla, organizacja non-profit angażująca się w temacie wolnych sieci i znana z przeglądarki Firefox, zbadała w 2023 roku praktykę zbierania danych przez 25 marek samochodowych. Doszli do przerażającego wniosku, że ,,Nowoczesne samochody do koszmar dla prywatności”.

Wszystkie badane marki gromadziły więcej danych niż to było konieczne. 76% przyznawało, że mogą je odsprzedawać. Ponadto 68% badanych firm w ciągu ostatnich trzech lat miało do czynienia z hakerami, incydentami powiązanymi z bezpieczeństwem lub wyciekami informacji. ,,Żenujący bilans” – skomentowała fundacja.

Również inni producenci mogą mieć problemy z bezpieczeństwem w branży IT
VW nie jest jedynym producentem samochodów, który z powodu ogromnego przepływu informacji ma poważne problemy z bezpieczeństwem. W styczniu 2023 roku zespół, w którym działał 23-letni haker Sam Curry z Omahy, stan Nebraska, pokazał, jak udało mu się włamać do dowolnych kont użytkowników, pracowników i dealerów BMW, a następnie uzyskać dostęp do dokumentów sprzedaży. Zespół ten włamał się także do firmowego chatu Mercedesa.

Jeszcze poważniejsze luki w bezpieczeństwie, które dostrzegli hakerzy, były w autach marki KIA: mogli zdalnie otworzyć drzwi pojazdów tej południowo-koreańskiej marki a nawet odpalić auta. Na szczęście Curry i jego zespół to tzw. ,,White-Hat”, którzy postąpili tak samo jak CCC w przypadku Cariad – poinformowali o istniejących lukach firmy których to dotyczyło, a braki zostały zapełnione.

Wśród badaczy bezpieczeństwa wręcz legendarny jest tzw. ,,Jeep-Hack”. W 2015 roku dwóch specjalistów IT dostało się zdalnie do elektroniki samochodu przez wbudowany moduł telefonii komórkowej, mogli w ten sposób zdalnie sterować hamulcami, prędkością oraz radiem. Akcja ta skłoniła producenta do przyjęcia do serwisów 1.4 miliona samochodów, aby chronić je przed podobnymi atakami za pomocą aktualizacji oprogramowania.

Ale komu właściwie służą te dane z auta? Producentom? Właścicielom? To ważne pytanie, zwłaszcza że coraz więcej podmiotów pragnie posiadać te informacje. Przykładowo ubezpieczyciele aut chcieliby uzyskać do nich dostęp, aby móc zaproponować taryfę, która wynagradza przepisową jazdę.

Stopniowo producenci tracą kontrolę nad danymi. W maju sąd krajowy z Kolonii orzekł, że niezależne warsztaty nie mogą dalej utrudniać dostępu do informacji o naprawach. Niezależni mechanicy skarżyli się, że niektórzy producenci zmuszali ich, do kupowania drogich licencji, aby uzyskać dostęp do danych pojazdu i pamięci błędów. 

Również Unia Europejska zajęła się tą kwestią w swojej nowej ustawie ,,Data ACT”, które wejdzie w życie we wrześniu 2025 roku do wszystkich krajów UE. Mimo wysiłków lobbingowych koncernów motoryzacyjnych, które chciały zachować kontrolę nad danymi, Bruksela zadecydowała, że właściciele aut powinni mieć większą kontrolę nad informacjami, które sami generują. Zgodnie z tym producenci musza zapewnić im co najmniej prosty i bezpłatny dostęp do tych informacji – co sprawi, że ich praktyki zbierania danych staną się bardziej przejrzyste. 

*Uwaga od redakcji: W poprzedniej wersji napisano, że Markus Grübel był sekretarzem stanu w Ministerstwie Obrony do 2021 roku. W rzeczywistości pełnił tę funkcję tylko do 2018 roku. Poprawiliśmy ten błąd.