Nieuws
image

CCC: Volkswagen verzamelt locatiedata honderdduizenden auto's en lekte dit

zaterdag 28 december 2024, 09:25 door Redactie, 21 reacties

De Volkswagen Group verzamelt systematisch locatiedata van honderdduizenden elektrische Volkswagens, Audi's, Skoda's en Seats, bewaart deze informatie voor langere tijd en heeft deze gegevens ook gelekt, zo stelt de Chaos Computer Club (CCC) op basis van eigen onderzoek dat gisteren tijdens het Chaos Communication Congress in Hamburg werd gepresenteerd. De Duitse Chaos Computer Club is één van de oudste hackerclubs die nog actief is en houdt zich onder andere bezig met beveiligingsonderzoek.

Tijdens beveiligingsonderzoek ontdekten CCC-onderzoekers een publiek toegankelijke memorydump van een interne applicatie van Cariad, een dochteronderneming van Volkswagen Group dat software ontwikkelt. De dump bevatte inloggegevens voor Amazon's cloudopslag. Daar werd 9,5 terabyte aan data aangetroffen, afkomstig van zo'n 800.000 auto's. Het ging onder andere om informatie over eigenaren en locatiegegevens, zoals tijd en plek waar de auto was geparkeerd. De gegevens werden verzameld via de Volkswagen-app, waarmee het mogelijk is om de auto vooraf op te warmen of het rijbereik van de auto te bekijken.

De onderzoekers informeerden Cariad, Volkswagen Group en privacytoezichthouders. De toegankelijke data kwam ook in handen van Der Spiegel dat verder onderzoek deed en ontdekt dat bijvoorbeeld gevoelige data over inlichtingen en militaire activiteiten werd verzameld. Cariad laat in een reactie tegenover de Duitse krant weten dat het alleen 'gepseudonimiseerde data' verzamelt om het laadgedrag van klanten in kaart te brengen en dat de gegevens niet gecombineerd worden om conclusies over individuen te trekken of bewegingsprofielen te maken.

Onderzoek naar het incident nog gaande, maar volgens Cariad is er sprake van een misconfiguratie en heeft voor zover bekend niemand anders dan de CCC toegang tot de data gehad. "Het probleem is dat deze gegevens in de eerste plaats worden verzameld en voor zo'n lange periode. Het feit dat het slecht was beveiligd is de kers op de taart", aldus CCC-woordvoerder Linus Neumann.

Image

Reacties (21)
Reageer met quote
28-12-2024, 12:12 door Anoniem
De informatie werd verzameld als eigenaren van elektrische voertuigen een gebruikersapp van VW-dochterfirma Cariad downloadden, waarmee bijvoorbeeld een stoel kon worden voorverwarmd of het batterijpercentage van het voertuig worden getoond. Er werden gegevens verzameld over parkeerplekken en datasets gemaakt van dagelijkse routines.

https://nos.nl/artikel/2549792-datalek-bij-volkswagen-gegevens-800-000-auto-eigenaren-op-straat


Millionen von E-Autos betroffen
Massive Sicherheitslücke bei Volkswagen

Wir wissen, wo dein Auto steht. VW hat mit einer neuen Blamage zu kämpfen. Bewegungsdaten von 800.000 E-Autos sowie Kontaktinformationen zu den Besitzern standen ungeschützt im Netz. Sichtbar war, wer wann zu Hause parkt, beim BND oder vor dem Bordell. Die SPIEGEL-Recherche.

https://www.spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027
Reageer met quote
28-12-2024, 12:20 door Anoniem
Dit gaat hun ondergang worden. Dit kunnen ze er niet ook nog bij hebben. Wat bezielt die lui eigenlijk? Is het verkopen van persoonsgegevens het gene dat ze op de rails gaat houden? Volgens mij hebben die een miljarden-probleem. Geen tonnen-probleem.

Dit is zo onlogisch...
Reageer met quote
28-12-2024, 12:30 door Anoniem
Jaren geleden (2019 ish), had de NY Times al eens een onderzoek gedaan naar geanonimiseerde locatie data....
En dat was al een rijke bron van informatie. Ze haalden er een solliciterende CEO uit, onderwijzers, militairen etc.

In dit geval is het niet eens geanonimiseerd.... wat zou er mis kunnen gaan.

Het blijkt dus dat je niet achter VW of "usual suspects" aan moet, je moet de onderzoeks bureaus hebben die "alleen maar....." eenvoudig onderzoekje doen naar iets "onschuldigs"... die zijn minder scherp op beveiliging laten van alles overal slingeren omdat het kan.

Vroeger kon je daarmee weg komen omdat de data "alleen maar " op eigen systemen binnen de eigen muren stond.
Inmiddels is heel veel data in de cloud.. (iemand anders' computer) en zijn er toegangs beveiligingen nodig..., die toegangen worden dan ook in alle applicaties gebouwd dus het uiteen plukken van allerlei data verzamel apps zou heel lucratief kunnen worden. Zeker als er "dumps" met interne staat van een applicatie beschikbaar zijn.
Reageer met quote
28-12-2024, 12:47 door Anoniem
Hier een podcast over ander gebruik van locatie data:

https://thecyberwire.com/podcasts/daily-podcast/2194/notes
Reageer met quote
28-12-2024, 14:17 door Anoniem
Door Anoniem: Dit gaat hun ondergang worden. Dit kunnen ze er niet ook nog bij hebben. Wat bezielt die lui eigenlijk? Is het verkopen van persoonsgegevens het gene dat ze op de rails gaat houden? Volgens mij hebben die een miljarden-probleem. Geen tonnen-probleem.

Dit is zo onlogisch...

Je doet de aanname dat mensen handelen op basis van dit soort berichten. Laat ik je uit die droom helpen, het heeft bijzonder weinig invloed bij de gemiddelde persoon.
Reageer met quote
28-12-2024, 15:13 door Anoniem
Het kopen van een nieuwe auto is al lang niet aan te raden omdat er afluisterapparatuur in zit. En er zit geen knopje op je dashboard om dat uit te zetten. Het is hufterware, maar waar kun je nog heen als je een nieuwe auto wil kopen.

Gewoon iets met vier wielen.
Reageer met quote
28-12-2024, 16:53 door Anoniem
Is deze verzamelde data niet enorme GDPR overtreding?
Reageer met quote
28-12-2024, 17:24 door Anoniem
Door Anoniem:
Door Anoniem: Dit gaat hun ondergang worden. Dit kunnen ze er niet ook nog bij hebben. Wat bezielt die lui eigenlijk? Is het verkopen van persoonsgegevens het gene dat ze op de rails gaat houden? Volgens mij hebben die een miljarden-probleem. Geen tonnen-probleem.

Dit is zo onlogisch...

Je doet de aanname dat mensen handelen op basis van dit soort berichten. Laat ik je uit die droom helpen, het heeft bijzonder weinig invloed bij de gemiddelde persoon.

privacy is een smeltende gletcher en mensen werken er vaak zelf aan mee,....
Reageer met quote
28-12-2024, 17:48 door Anoniem
Door Anoniem: Het kopen van een nieuwe auto is al lang niet aan te raden omdat er afluisterapparatuur in zit. En er zit geen knopje op je dashboard om dat uit te zetten. Het is hufterware, maar waar kun je nog heen als je een nieuwe auto wil kopen.

Gewoon iets met vier wielen.
Je zult een oldtimer moeten kopen. Iets van ruim voor 2010 zonder boordcomputer.
Mogelijk gelijk wat onderdelen erbij. (verbruikswaar bedoel ik dan).
Reageer met quote
29-12-2024, 12:03 door Anoniem
Louis Rossman video over dit onderwerp;
Volkswagen car locations and identities revealed due to security fail
https://youtu.be/O_II378UoxY
Reageer met quote
29-12-2024, 12:51 door Anoniem
Door Anoniem: privacy is een smeltende gletcher en mensen werken er vaak zelf aan mee,....

'Privacy is net een gletsjer. Het smelt stukje bij beetje weg, tot plots alles weg is'
vrijdag 21 juni 2024, 15:19 door Redactie

https://www.security.nl/posting/846978/%27Privacy+is+net+een+gletsjer_+Het+smelt+stukje+bij+beetje+weg%27
Reageer met quote
29-12-2024, 13:31 door Anoniem
Door Anoniem: Is deze verzamelde data niet enorme GDPR overtreding?
Natuurlijk niet. Met ieder willekeurige nonsens-reden mag dit.
Reageer met quote
30-12-2024, 08:18 door Anoniem
Westerse merken verzamelen volop data met hun auto’s maar wel wijzen naar de Chinezen en de (invoer) btw voor Chinese auto’s verhogen. Ze willen gewoon dat iedereen dure westerse merken kopen en dat westerse merken niet failliet gaan. En ze willen zelf alle data van hun burgers verzamelen door de burger bang te maken met ‘Chinese spionage’.
Reageer met quote
30-12-2024, 08:42 door Anoniem
Niet allemaal verast en verbaasd zijn. Hoewel dat de meesten dat wel zo laat overkomen. Slecht beveiligd had ik eigenlijk wel gedacht. Het zijn autobouwers geen softwaremakers. Waarbij ik denk wordt er geen (pen)test op zulke software losgelaten? Desnoods huur CCC zelf in :-).

Daarnaast doen andere automaker precies hetzelfde. Dus zo schokkend is dit allemaal niet. Data is het nieuwe goud daar willen de automakers ook wat van meepikken, alleen moet ze het spelletje denk ik nog eens wat beter onder de knie krijgen.

En dan nog dat ze weten waar mijn auto staat. Ik heb toch niets te verbergen. De persoonsgegevens vind ik wel een kwalijke zaak deze data moet geanonimiseerd worden. AVG GDPR en zeker de duits datenschutz zijn daar vrij streng in.
Reageer met quote
30-12-2024, 09:03 door Frostieh1981NL
Door Anoniem: Dit gaat hun ondergang worden. Dit kunnen ze er niet ook nog bij hebben. Wat bezielt die lui eigenlijk? Is het verkopen van persoonsgegevens het gene dat ze op de rails gaat houden? Volgens mij hebben die een miljarden-probleem. Geen tonnen-probleem.

Dit is zo onlogisch...

Dit is ook 1 van de vele redenen waarom ik GEEN electrische of nieuwere auto in mijn bezit wil hebben.
Wij geven onze privacy te gemakkelijk op voor gebruikersgemak of luxe..... Het slaat totaal nergens meer op.
Reageer met quote
30-12-2024, 10:05 door waterlelie
Door Frostieh1981NL:
Door Anoniem: Dit gaat hun ondergang worden. Dit kunnen ze er niet ook nog bij hebben. Wat bezielt die lui eigenlijk? Is het verkopen van persoonsgegevens het gene dat ze op de rails gaat houden? Volgens mij hebben die een miljarden-probleem. Geen tonnen-probleem.

Dit is zo onlogisch...

Dit is ook 1 van de vele redenen waarom ik GEEN electrische of nieuwere auto in mijn bezit wil hebben.
Wij geven onze privacy te gemakkelijk op voor gebruikersgemak of luxe..... Het slaat totaal nergens meer op.

Inderdaad, geestelijke luiheid is de grootste vijand van de privacy.
Reageer met quote
30-12-2024, 17:19 door Anoniem
Dit is toch niets nieuws, dit gebeurt met elke elektrische auto, de een wat meer (TESLA, BYD) dan de andere zoals volvo en volkswagen. Maar nog steeds heel veel. Bij tesla, wordt elke knop aanraking, scherm aanraking, all camera beelden en locatie gelogd. Dit is al zo sinds het begin. Daat bestaat de waarde van Tesla ook uit. Met maximaal support van de Nederlandse overheid
Reageer met quote
30-12-2024, 18:29 door Anoniem
Door Anoniem: Het kopen van een nieuwe auto is al lang niet aan te raden omdat er afluisterapparatuur in zit. En er zit geen knopje op je dashboard om dat uit te zetten. Het is hufterware, maar waar kun je nog heen als je een nieuwe auto wil kopen.

Gewoon iets met vier wielen.

Ik heb begrepen dat Dacia nog niet met al die extra's zijn uitgerust.
Maar ik kan het mis hebben, mogelijk dat Dacia er nu ook mee bezig is.

Maar inderdaad in bijna al die nieuwe auto's zit spy-software, het is wachten op de
volgende fabrikant die voor hetzelfde bekend wordt.
Gokje Hyundai en Lync & Co.
Reageer met quote
30-12-2024, 19:12 door PJW9779
"Volswagen......, das Auto!"
Reageer met quote
30-12-2024, 19:16 door PJW9779
En intussen heeft iedereen gewoon haar/zijn smarthopne op zak met GPS ingeschakeld.
Reageer met quote
Gisteren, 08:04 door dingetje
Door Anoniem:
Door Anoniem: Is deze verzamelde data niet enorme GDPR overtreding?
Natuurlijk niet. Met ieder willekeurige nonsens-reden mag dit.
Laat me raden... 'Gerechtvaardigd belang' ?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Happy New Year
Certified Secure