震惊！大众旗下 Cariad 泄露 80 万辆电动汽车数据，车主行踪或被精准定位！

大众汽车摊上大事了！ 其旗下汽车软件公司 Cariad 被曝存在严重数据泄露事件，约 80 万辆 电动汽车的数据在网上被公开，包括 车主姓名和车辆的精准位置信息，甚至能精确到 厘米级！

海量数据未设防，车主隐私岌岌可危

据了解，这些被泄露的数据存储在 亚马逊云存储 中，由于 Cariad 的配置错误，数 TB 的大众客户数据在长达数月的时间里处于未受保护状态！任何具备基本技术知识的人都可以访问这些数据，追踪车主的行踪，或收集车主的个人信息。

此次泄露事件影响了 大众、西雅特 (Seat)、奥迪和斯柯达 等多个品牌的电动汽车，其中部分车辆的地理位置数据精度 高达 10 厘米！

安全漏洞如何被发现？

欧洲最大的道德黑客组织 混沌计算机俱乐部 (CCC) 在接到举报后，对这一安全漏洞进行了测试，并于 11 月 26 日向 Cariad 和大众汽车通报了该问题，并提供了详细的技术细节。

Cariad 的一位代表告诉媒体，受影响的数据仅限于 已连接到互联网并注册了在线服务 的车辆。

在近 80 万辆受影响的车辆中，研究人员发现了 46 万辆 车的地理位置数据，其中一些数据的精度高达 10 厘米。德国媒体 《明镜周刊》 报道称，其中 30 多辆 汽车属于汉堡警方巡逻车队，还有一些车辆属于疑似情报机构雇员。

Cariad 辩解：访问数据需 “高超技术”？

Cariad 声称，CCC 黑客需要绕过多个安全机制，花费大量时间和专业技术才能访问数据。此外，由于个人车辆数据出于隐私目的进行了 假名化处理，黑客必须组合不同的数据集才能将细节与特定用户关联起来。

然而，《明镜周刊》组织了一支由 IT 专家和记者组成的团队，利用免费软件就成功获取了两名德国政客 Nadja Weippert 和 Markus Grübel 车辆的定位信息！ 他们发现了一个包含敏感信息的 Cariad 内部应用程序的内存转储副本，并在其中找到了访问 亚马逊云存储 实例的密钥，而 Cariad 正是将大众集团客户车辆的数据存储在那里。

《明镜周刊》 进一步指出，一些数据点显示了电动汽车 发动机关闭时的经纬度位置。

“对于大众和西雅特车型，这些地理数据的精度在 10 厘米 以内，而奥迪和斯柯达的精度在 10 公里 以内，因此问题相对较小。” - 《明镜周刊》

数据泄露范围广泛，德国受影响最大

受影响的车辆主要集中在 德国 (30 万辆)，但研究人员也发现了 挪威 (8 万辆)、瑞典 (6.8 万辆)、英国 (6.3 万辆)、荷兰 (6.1 万辆)、法国 (5.3 万辆)、比利时 (6.8 万辆) 和丹麦 (3.5 万辆) 等国家的车辆数据。

Cariad 快速响应，已修复漏洞

Cariad 表示，其安全团队在收到 CCC 的报告后迅速采取行动，并在 当天就关闭了访问权限。CCC 代表也向《明镜周刊》证实，Cariad 的 “技术团队反应迅速、彻底且负责任”，并在收到技术细节后的几个小时内做出了反应。

Cariad 声称没有证据表明除 CCC 黑客之外的其他方访问过暴露的车辆数据，也没有信息被第三方滥用。

Cariad 辩解数据收集的必要性，但仍需警惕！

Cariad 强调，大众集团品牌的客户可以同意使用需要处理个人数据的产品和服务，并可以随时停用该选项。

然而，该公司指出，从车辆收集的数据有助于其 “提供、开发和改进” 为客户提供的数字功能，以及创造额外的好处。“没有这些数据，智能、数字化和个性化的功能将无法提供、优化或扩展。” - Cariad

例如，Cariad 解释说，客户的充电行为和习惯会被匿名化，并有助于优化未来的电池和充电软件。

尽管如此，这次数据泄露事件仍然敲响了警钟！车企在收集和使用用户数据时，必须采取更加严格的安全措施，保护用户隐私！