Fuite massive de données chez Volkswagen causée par un échec de sécurisation des informations d’identification AWS

Lucas Morel

VW n’a pas non plus respecté les exigences réglementaires en matière de sécurité des données et a même violé ses propres conditions de service, a déclaré l’analyste.

L’incapacité à protéger correctement l’accès à son environnement AWS est l’une des causes profondes de la récente fuite massive de données de Volkswagen, selon une présentation sur l’incident au Chaos Computer Club le 27 décembre.

Mais l’analyste en sécurité qui a contribué à révéler la fuite a déclaré que le constructeur automobile de 351 milliards de dollars avait violé ses propres conditions de service ainsi que les exigences réglementaires, notamment le RGPD, en ne tronquant ni en chiffrant les données sensibles des clients de plus de 15 millions de véhicules inscrits.

«Ils collectaient beaucoup trop de données», a déclaré à l’auditoire un analyste en sécurité informatique du nom de Flüpke. « Si vous souhaitez évaluer la sécurité de la batterie, vous n’avez pas besoin de données de localisation. »

Les données collectées par VW, a-t-il noté, comprenaient un large éventail d’informations, notamment des données utilisateur telles que le nom, l’adresse e-mail, la date de naissance et l’adresse physique, des données sur la voiture telles que le VIN, le modèle, l’année et l’identifiant complet de l’utilisateur, en plus des données EV. des points tels que l’odomètre, la température de la batterie, l’état de la batterie, l’état de charge et les données des voyants d’avertissement.

Le problème des véhicules conservant des téraoctets d’informations sensibles sur leurs conducteurs n’est pas nouveau, mais il s’est récemment aggravé, en partie parce que les véhicules électriques (VE) collectent beaucoup plus d’informations. Des rapports faisant état de problèmes de conservation des données des véhicules ont commencé à faire surface il y a plus de quatre ans.

Le problème est que les constructeurs automobiles sont tenus de conserver certaines de ces données. Par exemple, Flüpke a souligné que l’Union européenne exige depuis 2018 une certaine collecte et partage de données sur les véhicules, dans le cadre d’un effort de l’UE visant à envoyer automatiquement de l’aide à un véhicule impliqué dans un accident grave.

Flüpke a déclaré avoir découvert le problème des données VW en combinant divers outils de codage, notamment Subfinder, GoBuster et Spring. Grâce à ces outils, Flüpke a déclaré qu’il avait pu récupérer le tas de l’environnement interne de VW car il n’était pas protégé par mot de passe. Un vidage de tas répertorie divers objets au sein d’une machine virtuelle Java (JVM), qui peuvent révéler des détails sur l’utilisation de la mémoire. Ceci est censé être utilisé pour surveiller les mesures de performance et pour les examens d’introspection.

Dans ce vidage de tas figuraient, en texte brut, diverses informations d’identification AWS actives. Lorsque Flüpke a confronté VW à la découverte de ces informations d’identification, il a cité les propos de l’entreprise : « l’accès aux données s’est produit dans le cadre d’un processus multicouche très complexe ».

Bien que cela soit vrai, a déclaré Flüpke, et que le backend n’est pas destiné aux utilisateurs finaux, mais plutôt utilisé pour l’échange de jetons, « vous pouvez utiliser un ID utilisateur arbitraire pour générer un jeton JWT, qui est un jeton d’authentification sans mot de passe. C’est utile car vous pouvez lui donner un ID utilisateur et tout à coup vous êtes cet utilisateur. Nous ne pouvons pas piloter de voiture à distance avec cela, mais nous pouvons nous authentifier avec une API de ce fournisseur d’identité et accéder aux données des utilisateurs.

Le journaliste Michael Kreil, qui a également analysé les données, a déclaré lors de sa présentation à la conférence que les 9,5 To de données d’événements comprenaient des coordonnées géodonnées, dont certaines avaient une précision de 10 centimètres. Il a révélé où les gens allaient travailler, où ils faisaient leurs courses et quand, dans quelles écoles ils conduisaient leurs enfants et où vivaient les agents des forces de l’ordre.

Flüpke a déclaré que VW avait invalidé les informations d’identification AWS une fois qu’ils avaient été alertés du problème suite à la violation.