大众汽车数据泄露问题引发监管关注

主要信息概览

大众汽车未能满足数据安全的监管要求，并且违反了自己的服务条款。针对事故的分析指出，公司的AWS环境访问保护措施不到位，是数据泄露的根本原因之一。数据泄露涉及超过1500万辆车辆的敏感客户信息，包括姓名、电子邮件、出生日期、地址等。该事件凸显了电动汽车收集的信息量很大，增加了隐私泄露的风险。

数据泄露的背景

根据 Chaos Computer Club 在12月27日的演讲，大众汽车未能妥善保护其AWS环境的访问权限，成为近期大众汽车大规模数据泄露的根本原因。协助揭露该泄露事件的安全分析师指出，这家价值3510亿美元的汽车制造商违反了自己的服务条款和监管要求，尤其是欧盟的通用数据保护条例GDPR，因为没有截断或加密来自超过1500万辆注册车辆的敏感客户数据。

“他们收集的数据超过了必要限度，”一位名为Flpke的IT安全分析师在演讲中表示。“如果想评估电池安全，根本不需要位置信息。”

科学上上网工具下载

收集的数据类型

大众汽车所收集的数据包括一系列信息，如用户数据姓名、电子邮件、出生日期和地址、汽车数据车辆识别码、车型、年份和完整用户ID，以及电动汽车数据里程计、电池温度、电池状态、充电状态和警告灯信息等。

数据保留的挑战

虽然车辆保持关于驾驶员的敏感信息的存储问题并不新鲜，但最近情况变得更加严重，部分原因是电动汽车EV收集的信息量大幅增加。 关于车辆数据保留问题的报告在四年前开始浮出水面。

要点说明监管要求欧盟自2018年起要求收集和共享某些车辆数据数据问题大众汽车的AWS凭证未受密码保护，敏感数据易发生泄露

数据泄露的技术分析

Flpke表示他是通过结合多种编程工具如Subfinder、GoBuster和Spring发现了大众汽车的数据问题。他利用这些工具获取了公众访问的VW内部环境的堆栈转储heap dump，这是因为该环境没有密码保护。堆栈转储列出了Java虚拟机JVM中的各种对象，可以揭示内存使用情况。

在这个堆栈转储中，明确列出了各种活跃的AWS凭证。当Flpke结合大众汽车时，公司表示：“数据访问是在一个非常复杂的多层过程中进行的。”

虽然这部分是事实，Flpke指出，后端并非面向最终用户，而是用于令牌交换，但“你可以用任意用户ID生成JWT令牌，这是一个无需密码的身份验证令牌。这样就可以凭借用户ID获取用户数据。”

数据的隐私风险

数据记者Michael Kreil在大会期间指出，95TB的事件数据包括地理坐标信息，其中一些的精度在10厘米以内。这些数据显示了人们去哪里工作、何时购物、把孩子送到哪里上学，以及执法人员的住所信息。

Flpke表示，当大众汽车在泄露事件发生后被提醒时，他们已使AWS凭证失效。

通过此次事件，我们看到在电动汽车时代，数据的安全性和隐私保护是一个亟待解决的问题。监管机构将可能更加重视这一领域，以确保用户信息安全。