Volkswagen AG‘ye ait yaklaşık 800 bin elektrikli aracın konum bilgileri, bulut ortamındaki bir yapılandırma hatası nedeniyle çevrimiçi olarak erişilebilir hale geldi. Söz konusu durum, Almanya’nın önde gelen gazetelerinden Der Spiegel tarafından bir ihbarcı aracılığıyla ortaya çıkarıldı. Olayın detaylarına Chaos Computer Club adlı siber güvenlik derneği tarafından yürütülen araştırmalar da ışık tuttu.
Bu hata, Cariad adlı birimin yönettiği ve Amazon Web Services üzerinde barındırılan bir bulut ortamında meydana geldi. Cariad, 2020 yılında kurulan ve Volkswagen‘in yanı sıra bağlı altıdan fazla şirket için yazılım ve donanım geliştiren bir birim olarak biliniyor. Birim, sürücü destek sistemleri için sensörler gibi donanım bileşenlerinin yanı sıra otomobil yazılımları da tasarlıyor.
Hata nedeniyle çevrimiçi ortamda erişilebilir hale gelen veriler arasında yaklaşık 800 bin elektrikli aracın konum bilgileri yer aldı. Bu araçlardan 460 binine ait veriler, “on santimetreye kadar kesinlik” sağlıyordu. Özellikle Volkswagen ve bağlı kuruluşu Seat markasına ait bazı araçların konum bilgilerinin bu yüksek doğruluk seviyesinde olduğu belirtilirken, Audi ve Skoda markalarına ait araçların konum bilgilerinin altı mil sapmayla belirlendiği ifade edildi.

Araştırmacılar, sızdırılan veriler üzerinde yaptıkları incelemelerde bazı araç sahiplerinin isim ve iletişim bilgilerine erişebildi. Bunun yanı sıra, elektrikli araçların aktif olup olmadığını izleme olanağı da sunuldu. Der Spiegel, veri setinin bir kısmının iki Alman politikacının konumunu takip etmeye olanak tanıdığını belirtti.
Otomotiv sektörü, altyapısını güvence altına almak için ISO/SAE 21434 gibi çeşitli endüstri standartlarına bağlı kalmakta. Bu standartlar, sistemlerde oluşabilecek güvenlik açıklarını azaltmak için şirketlere bir dizi en iyi uygulama öneriyor. Ek olarak, bazı otomobillerde veri akışını yöneten ve kötü amaçlı trafikleri filtreleyen yerleşik güvenlik duvarlarına sahip özel çipler kullanılıyor.
Sızdırılan veri setinin, birkaç ay boyunca çevrimiçi ortamda erişilebilir olduğu ve birkaç terabayt büyüklüğünde veri içerdiği ifade edildi. Volkswagen, yapılan açıklamada verilerin erişimi için “birden fazla güvenlik mekanizmasının aşılması gerektiğini ve bunun yüksek düzeyde uzmanlık ile kayda değer bir zaman yatırımı gerektirdiğini” belirtti. Bu açıklama, bilgisayar korsanlarının verileri indirme fırsatı bulamadan şirketin bulut ortamını yamaladığını düşündürüyor.
Şirket ayrıca, sızdırılan veri setinde müşterilerin ödeme bilgileri ya da giriş bilgileri gibi hassas verilerin yer almadığını da vurguladı. Ancak bu olay, otomotiv sektöründe dijital güvenlik önlemlerinin ne kadar kritik bir öneme sahip olduğunu bir kez daha gözler önüne serdi.