อีกดราม่าส่งท้ายปี เมื่อ Chaos Computer Club (CCC) กลุ่มแฮ็กเกอร์สายขาวจากยุโรป พบว่า Cariad บริษัทซอฟต์แวร์ของ Volkswagen Group เผลอปล่อยข้อมูลรถยนต์ของลูกค้ากว่า 800,000 คันบนอินเทอร์เน็ต ซึ่งในจำนวนนี้มี "พิกัดตำแหน่ง" ของรถยนต์จำนวน 460,000 คันอยู่ด้วย

ข้อมูลเหล่านี้มาจากลูกค้า Volkswagen ที่เชื่อมต่อรถยนต์กับแอพ Volkswagen เพื่อควบคุมรถยนต์จากระยะไกล เช่น เช็คข้อมูลแบตเตอรี่ที่เหลือ สั่งให้อุ่นที่นั่งรอก่อนเดินทาง ฯลฯ ซึ่งเป็นสิ่งที่แบรนด์รถยนต์ยุคปัจจุบันทำกันทั่วไปอยู่แล้ว

สิ่งที่ CCC พบคือ Cariad นำข้อมูลรถยนต์ (ที่ไม่ได้เข้ารหัส) ขึ้นไปเก็บสตอเรจคลาวด์ AWS (ไม่ได้ระบุชื่อบริการชัด แต่น่าจะเป็น S3) เป็นเวลานานหลายเดือนตั้งแต่ช่วงกลางปี จนกระทั่งมีคนมาพบเข้าและแจ้งมายัง CCC ในที่สุด ซึ่ง CCC ในฐานะแฮ็กเกอร์สายขาวได้แจ้งเตือนไปยัง Cariad อีกทีให้ปิดช่องโหว่นี้ แล้วค่อยรายงานต่อสาธารณะ

CCC ร่วมกับหนังสือพิมพ์ Spiegel ของเยอรมนี ทดลองนำพิกัดเหล่านี้ไปตรวจสอบกับรถยนต์ของนักการเมืองในเยอรมนี 2 ราย (โดยความยินยอมจากเจ้าตัว) และรถยนต์ตำรวจของเมืองฮัมบูร์ก พบว่าสามารถค้นหาพิกัดรถยนต์เหล่านี้ได้ถูกต้อง โดยรถยนต์บางรุ่นมีข้อมูลพิกัดแม่นยำระดับ 10 เซนติเมตร

ตัวแทนของ Cariad อธิบายว่าปัญหานี้เกิดจาก "การคอนฟิกค่าผิด" (misconfiguration) และยังไม่มีรายงานว่ามีแฮ็กเกอร์กลุ่มอื่นๆ (นอกจาก CCC) ที่สามารถเข้าถึงข้อมูลชุดนี้ได้หรือไม่

ที่มา - CCC , Spiegel , Bleeping Computer

Cariad และแบรนด์รถยนต์ในเครือ Volkswagen Group