Izloženi osobni podaci
Cyber istraživač pronašao je značajne nedostatke u aplikaciji My Volkswagen, izlažući osobne podatke, lozinke, pa čak i vjerodajnice za usluge trećih strana.
Ova situacija otkriva ozbiljan problem u svijetu moderne tehnologije i povezanih vozila. Vishal Bhaskar, cyber istraživač, prvi je ukazao na ranjivosti kada je kupio rabljeni Volkswagen i pokušao registrirati svoje vozilo preko VW-ove usluge povezane automobile.
U procesu registracije, jednokratna lozinka koju je trebao primiti poslana je na telefon prethodnog vlasnika. Ovaj incident otkriva ne samo manjak sigurnosnih mjera u aplikaciji, već i ozbiljne propuste u zaštiti osobnih podataka korisnika.
Bhaskar, s pozadinom u IT-u, otkrio je da aplikacija neadekvatno reagira na neuspjele pokušaje pristupa. Upotrijebio je Burp Suite, alat za analizu mrežnog prometa, i napisao Python skriptu koja mu je omogućila da izvuče lozinke iz sustava. Ova metoda omogućila je identifikaciju još nekoliko značajnijih nedostataka API-ja.
Jedan od glavnih problema je bio izlaganje osjetljivih informacija kroz API krajnje točke. Ove informacije uključivale su korisnička imena, lozinke i vjerodajnice za usluge trećih strana poput Salesforce-a, svi dostupni u običnom tekstu, bez ikakvih sigurnosnih mjera.
Osim toga, druge krajnje točke otkrile su osobne podatke kupaca, uključujući informacije o paketima usluga i održavanja automobila. Ove informacije, koje su uključivale imena, telefonske brojeve, email adrese i adrese stanovanja, bile su dostupne samo putem identifikacijskog broja vozila (VIN), koji se lako može pronaći na samom vozilu.
Još alarmantnija je činjenica da je unos VIN-a omogućio pristup cjelokupnoj povijesti usluga, pritužbama korisnika i rezultatima anketa o zadovoljstvu. Ove informacije predstavljaju zlatnu priliku za cyber napadače, koji bi ih mogli iskoristiti za ciljanje vlasnika VW-a s lažnim porukama ili prevarama.
Dodatno, istraživanje je pokazalo da su postojale još neke API krajnje točke koje su izlagale telematičke podatke i dodatne informacije o kupcima, uključujući oznake kao što su “Obrazovanje Qualification” i “DriverLicense”.
Bhaskar je 23. studenog 2022. godine izvijestio o ovim ranjivostima na Volkswagen, koji je bio proaktivan u komunikaciji, no, nažalost, rješenje problema stiglo je tek ovog mjeseca. Ovaj incident samo je jedan od nekoliko cyber incidenata koji su pogodili njemačku tvrtku u posljednjih šest mjeseci, uključujući veliki curenje podataka koje je utjecalo na skoro 800.000 vlasnika električnih vozila.
