VW veri ihlali hakkında yorum yapın: GDPR, dişlerinizi gösterin!
38. Kaos İletişim Konferansı'nda CCC güvenlik araştırmacıları bugüne kadar bulunan en büyük veri gözetiminin ne olabileceğini ortaya çıkardı. Volkswagen Grubu'nun BT hizmetleri sağlayıcısı Cariad'ın web sitesinde yapılan bir alt alan sorgusu, ücretsiz olarak erişilebilen bir veri dökümü içeren bir API uç noktasını ortaya çıkardı.
Duyuru
Philipp Steevens 2022'den beri iX'te. Kendisi ağırlıklı olarak veri bilimi ve yapay zeka alanlarındaki makaleleri yönetiyor ve derginin LinkedIn'deki varlığıyla ilgileniyor.
İçeride ana ödül var: AWS'deki verilere erişim. Ayrıca Volkswagen Grubu'nun kimlik hizmetine ilişkin müşteri kimlikleri ve ilgili sırlar da vardı. Bu, 15 milyon araç verisinin ve e-posta, doğum tarihi ve adres dahil 600.000'den fazla VW müşteri verisinin okunabileceği anlamına geliyordu. Ve daha fazlası: Seat ve VW durumunda altıncı ondalık basamağa kadar coğrafi koordinatları içeren 9,5 TB olay verisi, dolayısıyla 10 santimetreye kadar hassas.
Genelev ziyaretleri yeniden düzenlenebilir
CCC'ye göre Cariad'ın BT personeli, haber duyulduktan sonra profesyonelce tepki gösterdi ancak Spiegel'e göre Volkswagen'in utanç verici kaçırması yeniden başladı: “Şifreler veya ödeme verileri gibi hassas bilgiler olmadığı için müşterilerin herhangi bir müdahalesine gerek yok. etkileniyor.'” VW buraya bir saman adam gönderiyor çünkü bulunan bilgiler, giriş verilerinden ve kredi kartı numaralarından çok daha hassas.
Gazeteci Michael Kreil'in 38C3'te bu verileri kullanarak gösterdiği şey, yalnızca korkutucudan felakete kadar tanımlanabilir: CCC, yaklaşık 470.000 araçtan alınan coğrafi verilerle günlük ve haftalık rutini yeniden yapılandırmayı ve sürücülerin çocuklarının VW ve hatta sulularının kimliklerini keşfetmeyi başardı. genelev ziyaretleri gibi ayrıntılar – insanlar VW taksiye binse bile, çünkü sonuçta bir yerden başlaması gerekiyor. Polis memurlarının araç kullanma davranışlarının yanı sıra, gizli servis çalışanlarının kimliklerinin de verilerden yeniden yapılandırılması mümkün oldu. Lütfen ne?
Veri ekonomisi sadece dekoratif değil
Bu olay, veri ekonomisinin neden müşterilerinden yeterli veri alamayan tahsilat şirketlerinin de çıkarına olması gerektiğinin güzel bir örneği. VW pillerini geliştirmek istiyorsa şirketin şarj seviyelerine ve kat edilen mesafeye ihtiyacı var. Araç koordinatları ve tam şarj süreleri bile yok. Bir uygulama aracılığıyla etkinleştirilen tek seferlik bir sinyal bile park halindeki bir arabayı bulmak için yeterli olacaktır ve uygulama kısa bir süre sonra bunu unutacaktır.
Bu verilerin bütünsel olarak kaydedilmesine ve saklanmasına gerek yoktur. Tek suçlu Aşağı Saksonya otomobil üreticisi değil: Daha 2023 yılında Mozilla Vakfı 25 farklı otomobil üreticisinin veri toplama davranışını eleştirmişti. Artık sonuçların takip edilmesi gerekiyor.
Umarım bu pahalı olur
Michael Kreil, 38C3'teki konuşmasında özellikle GDPR'nin 9. Maddesinin ihlal edildiğinin altını çiziyor: siyasi görüşler, dini veya ideolojik inançlar, sendika üyeliği veya bir kişinin cinsel hayatı veya cinsel yönelimine ilişkin veriler içeren veriler işlenemez. Tüm bu bilgiler, 10 santimetre hassasiyete sahip VW ve Seat coğrafi koordinatlarında yer alıyor. Cariad ve VW, verileri hiçbir zaman birleştirmediklerini söyleseler de işleme sırasında herhangi bir güvenlik sorunu söz konusu olamaz. Bunun nedeni, GDPR'nin 32. Maddesinin bu noktada gerektirdiği takma ad kullanma veya veri şifreleme eksikliğidir.
Bu muazzam ihmal nedeniyle ekonomik sıkıntı içinde olan VW grubu çok yüksek bir para cezası riskiyle karşı karşıya. Artık GDPR nihayet dişlerini gösterebilir ve göstermeli ve uyumluluğu karşılayamayan veya sağlamayacak küçük işletmelere kötü davranmanın kağıt israfı olmadığını göstermelidir. Sözde model şirketini sert bir şekilde vurması ve ardından ideal olarak tüm sektörü ivmeyle yok etmesi gerekiyor. GDPR'nin 9. Maddesinin ihlali, önceki yılın cirosunun %4'üne mal olabilir. VW Grubu bu değerin 2024 yılına kadar 320 milyar euroya ulaşacağını tahmin ediyor.
Borçlanmayı umduğumuz 12,8 milyar Euro'nun, eğitim gibi acil sorunlu alanlara kesinlikle iyi bir şekilde yatırılması mümkün olacaktır. Örneğin çocuklar, gençler ve çıraklar doğrudan okullarında verileri nasıl kullanmamaları gerektiğini, aynı zamanda meraklarını ve basit araçları kullanarak büyük şirketlerin yüzlerine yıkılmasını nasıl sağlayacaklarını öğrenebilirler.
Bu yorum, 24 Ocak 2025'te yayınlanacak olan iX 2/2025'in başyazısıdır.
(şşş)