Более 3,3 тысяч автовладельцев в России оказались под угрозой кражи их персональных данных. Злоумышленники достаточно просто могут получить доступ как к персональным данным, так и к информации о совершенных поездках за 2024 год, а в некоторых случаях и за более ранний период. Это связано с масштабной утечкой данных со стороны концерна Volkswagen.
В мире раскрыты данные о перемещении 800 тысяч машин
О том, что концерн Volkswagen хранит данные о 800 тысячах своих автомобилей фактически в открытом доступе, впервые написал авторитетный немецкий журнал Der Spiegel. Журналисты узнали о случившемся от анонимного хакера, обнаружившего уязвимость. Как оказалось, дочерняя компания Volkswagen, которая отвечает за сбор данных от пользователей и их сохранность, разместила информацию на сервисе Amazon без должной защиты доступа.
Пока речь идет исключительно об электромобилях. Это как собственно машины Volkswagen, так и модели дочерних брендов: Audi, Skoda, SEAT. Электрокары Porsche в статье не упоминаются.
По каждому автомобилю есть информация о маршрутах перемещений с точностью до 10 сантиметров, времени включения и отключения электропривода, информации о произведенных зарядках батарей и так далее. В 460 тысячах случаев можно идентифицировать владельца автомобиля. Для этого он должен пользоваться фирменным приложением и ввести там свои данные — тогда они тоже попадают в базу.
Издание нашло в списке нескольких немецких политиков — они часто выбирают электромобили Volkswagen для создания имиджа патриотов и защитников окружающей среды. Таким образом информация о всех их поездках оказалась фактически в свободном доступе. Кроме того, такие данные могут быть интересны иностранным разведкам и просто злоумышленникам. Последние могут как минимум использовать их для шантажа автовладельцев, угрожая раскрыть информацию о посещении мест, которую граждане не хотели бы делать публичной.
Хотя статья в Der Spiegel вышла еще в конце 2024 года, серьезной реакции со стороны Volkswagen до сих пор не последовало. Официальный комментарий от компании сводился к тому, что данные надежно защищены. Однако опрошенные изданием эксперты единодушно сошлись во мнении, что получить к ним доступ может буквально любой школьник с минимальными хакерскими навыками и набором самых простых программ.
Почему утекли данные именно об электромобилях
В 2015 году Volkswagen оказался в центре скандала, известного как «Дизельгейт». Компания была вынуждена признаться, что использовала специальные устройства для обмана измерительного оборудования во время тестов на токсичность выбросов дизельных моторов. Результатом скандала стало решение Volkswagen как можно быстрее переориентироваться с производства дизельных машин на электромобили.
Одной из сложностей при таком переходе стала разработка нового программного обеспечения — для электромобилей его фактически делали с нуля. В начале десятилетия Volkswagen в авральном порядке расширял штат программистов и был вынужден задерживать выход новых моделей на рынок. Некоторые выходили с ограниченным функционалом и обещанием исправить это при следующем обновлении программного обеспечения.
Именно со спешкой программистов эксперты связывают обнаружение столь критичной уязвимости. В теории концерн собирает данные не только об электрических машинах, но и о любых других, подключенных к интернету. Но из-за спешки именно у электромобилей оказался самый «сырой» софт.
Сколько электромобилей Volkswagen сейчас в России
Согласно исследованию агентства «Автостат», по состоянию на середину 2024 года в России насчитывается 3,3 тысячи электромобилей Volkswagen. Они занимают четвертое место по популярности после Nissan, Tesla и Zeekr. Однако всего немецких электромобилей больше: 7,4 тысячи. Помимо Volkswagen в это число входят в том числе машины Audi, которые также уязвимы.
С другой стороны, не все владельцы электромобилей Volkswagen в России подключают их к интернету. А это обязательное условие для передачи данных в общую базу, которую можно взломать.
Взломать можно не только электромобили
Современные машины с доступом к интернету передают автопроизводителям очень много данных — даже о том, пристегнуты пассажиры в салоне или нет. Те модели, которые оснащены автопилотами, регулярно передают данные о работе систем автоматического вождения — их анализ позволяет улучшить алгоритмы системы.
В теории доступ к этим данным могут получить злоумышленники. Автопроизводители в свою очередь стремятся не допустить уязвимости. Например, Tesla регулярно проводит конкурсы среди хакеров на взлом своих машин — если кому-то это удается, его вознаграждают, а обнаруженную уязвимость устраняют.
Известны случаи и взлома систем самих машин. Самый громкий произошел в 2015 году с концерном Jeep, когда хакеры смогли получить удаленный доступ к системам управления автомобилем и не просто вскрыть и завести машину, но и вмешаться в работу тормозов. Это привело к отзыву 1,4 автомобилей марки для устранения уязвимости.
Все эти события уже вызвали дискуссию о законности и целесообразности сбора данных об автомобилях со стороны автоконцернов. Из-за этого в Евросоюзе с сентября 2025 года все автовладельцы получат возможность проверять, какую именно информацию о них собирают автопроизводители.
В любом случае защититься от злоумышленников достаточно просто — нужно лишить машину доступа к интернету. Тогда, однако, вы не сможете пользоваться мобильным приложением, которое позволяет отслеживать местоположение машины или использовать удаленный запуск двигателя и прогрев салона.