Elbilforum.no - driftet av Norsk elbilforening
Populære temaer => Elbiler i media => Emne startet av: Tesla88 på lørdag 28. desember 2024, klokken 06:23
https://www-spiegel-de.translate.goog/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027?_x_tr_sl=auto&_x_tr_tl=no
Interessant at Cariad kaller dette en feilkonfigurasjon. La oss håpe at det er det og ikke hull i programvaren. Det ville jo ikke tatt seg ut. :P
Urelatert til dette så slo jeg av posisjonsdata i bilen for noen uker siden, for å teste noe. Den eneste nytten med posisjonsdata som jeg har lagt merke til, er at Volkswagen app'en viser hvor bilen er parkert. Denne informasjonen finnes også i kart-applikasjonen på iPhone (så lenge jeg er den siste som har brukt bilen).
Mao. posisjonsdata [i VAG-bil] er ikke noe man må ha påslått hele tiden, og som artikkelen viser så er det mange måter å misbruke slik informasjon når det kommer på avveie.
Svært interessant og bra sikkerhethullet er tettet.
Ja det viser sårbarheten i alt rundt oss dette her
VG har en artikkel om saken.
https://www.vg.no/nyheter/i/Gynpg9/gigantisk-datalekkasje-slik-ble-80-000-biler-sporet-i-norge
Helt klart reiser dette spørsmål om hvor mye og hvor lenge bilprodusentene lagrer slike data. Volkswagen lagrer f.eks. bare lokasjonsdata når man parkerer bilen (og bare på brukerprofilen som er aktivert i bilen ser det ut til), antagelig er det gjort slik av personvernhensyn. Men hvorfor har de da samlet inn dette i halvannet år tilbake i tid? Det er som at VAG bygger inn mange restriksjoner for å være «korrekte» men er ikke så nøye i gjennomføringen.
Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 09:54Helt klart reiser dette spørsmål om hvor mye og hvor lenge bilprodusentene lagrer slike data. Volkswagen lagrer f.eks. bare lokasjonsdata når man parkerer bilen (og bare på brukerprofilen som er aktivert i bilen ser det ut til), antagelig er det gjort slik av personvernhensyn. Men hvorfor har de da samlet inn dette i halvannet år tilbake i tid? Det er som at VAG bygger inn mange restriksjoner for å være «korrekte» men er ikke så nøye i gjennomføringen.
Det er i utgangspunktet ingen grunn til å lagre lokasjonsdata, det er ett grovt overtramp fra VW sin side. Det at det knyttes opp mot brukerprofil gjør det jo enda værre, siden man da kan spore den enkelte spesifikt.
Men de er nok ikke de eneste.
Er jo faktisk helt patetisk at de prøver å unnskylde seg med at ingen ondsinnete har fått tilgang. Det største problemet er jo ikke tilgangen, men at de faktisk samler inn så mye data.
Hvis ikke dette er ett brudd på GDPR og fører til en massiv bot så skjønner ikke jeg noe som helst.
De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Jeg er dessverre ikke akkurat overrasket over at og hva de har samlet inn, men dette er ikke bare en ripe i lakken, dette er en kraftig flenge i karosseriet på selskapet.
Men Ola og Kari Nordmann vil vel klare å se gjennom fingrene med dette sikkerhetsbruddet, som de stort sett gjorde med #dieselgate. Stort sett bare myndighetene som brøy seg, og ga bøter i tillegg til at noen ledere ble ofret for å reddet selskapets felles ansikt utad.
Nordmenn flest var mest glad for at ytelsen ikke hadde blitt skrudd ned for å faktisk følge kravene, men var derimot veldig bekymret for om endringene som måtte gjøres, ville gi færre hestekrefter og/eller lavere dreiemoment. Bekymret var man dog for at forbruket var høyere enn lovet, da det ville føre til høyere kostnader på ekstra forbruk av drivstoff.
Men den ekstra belastende påvirkningen på miljøet dreit de fleste eierne i...
Sitat fra: turfsurf på søndag 29. desember 2024, klokken 10:14Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 09:54Helt klart reiser dette spørsmål om hvor mye og hvor lenge bilprodusentene lagrer slike data. Volkswagen lagrer f.eks. bare lokasjonsdata når man parkerer bilen (og bare på brukerprofilen som er aktivert i bilen ser det ut til), antagelig er det gjort slik av personvernhensyn. Men hvorfor har de da samlet inn dette i halvannet år tilbake i tid? Det er som at VAG bygger inn mange restriksjoner for å være «korrekte» men er ikke så nøye i gjennomføringen.
Det er i utgangspunktet ingen grunn til å lagre lokasjonsdata, det er ett grovt overtramp fra VW sin side. Det at det knyttes opp mot brukerprofil gjør det jo enda værre, siden man da kan spore den enkelte spesifikt.
Men de er nok ikke de eneste.
Er jo faktisk helt patetisk at de prøver å unnskylde seg med at ingen ondsinnete har fått tilgang. Det største problemet er jo ikke tilgangen, men at de faktisk samler inn så mye data.
Hvis ikke dette er ett brudd på GDPR og fører til en massiv bot så skjønner ikke jeg noe som helst.
Helt enig i dine tanker her. Her vanker det sannsynligvis en heftig bot, kanskje til og med rekordhøy med tanke på både VW sin størrelse, og størrelse på glippen/mengden data og antallet mennesker og bedrifter påvirket her, inkludert det som fremkommer om militære og myndighetseide kjøretøy/operatører.
Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Klart de må lagre lokasjoner der ting er aktivert basert på lokasjon. Men de behøver ikke å lagre lokasjonshistorikk. Altså når og hvor ofte man er ett sted.
Sitat fra: turfsurf på søndag 29. desember 2024, klokken 12:19Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Klart de må lagre lokasjoner der ting er aktivert basert på lokasjon. Men de behøver ikke å lagre lokasjonshistorikk. Altså når og hvor ofte man er ett sted.
Min erfaring med tyske utviklere tilsier at dette er gjort med hensikt fordi man da kan komme med en fiks senere......
PS. Jeg tuller ikke!
Sitat fra: turfsurf på søndag 29. desember 2024, klokken 12:19Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Klart de må lagre lokasjoner der ting er aktivert basert på lokasjon. Men de behøver ikke å lagre lokasjonshistorikk. Altså når og hvor ofte man er ett sted.
Enig i det, ikke behov for å lagre mer enn nødvendig for å tilby tjenestene. Noen ganger må man lagre mer for å utvikle og overvåke tjenestene, men det betyr ikke at man må lagre så mye som det har kommet fram i Der Spiegel.
Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Hvilke tjenester krever at det faktisk lagres fysisk plassering?
Sitat fra: tronde på søndag 29. desember 2024, klokken 15:05Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Hvilke tjenester krever at det faktisk lagres fysisk plassering?
Dersom du legger inn hjem, jobb og noen andre favoritter, så må jo det lagres fysisk posisjon.
Pinlig datainnbrudd. Vi får nok se flere slike i fremtiden. Har ikke USA og Kina lovfestet rett til bakdører til viktige data i respektive land?
De MEB-bilene har visning av posisjon på kart i appen. Vil tro de synker dette mot server, og ikke bare kobler mot bil.
Da jeg eide en så fikk man derimot ingen historikk over kjøreturer. De har også dette med at hvis en bruker er innlogget i bilen så får en annen bruker ikke tilgang til noe fjernstyring. Man må også godkjenne at bilen logger deg hver tur ved å velge bruker.
På BMWen nå så vises full kjørehistorikk med start, stopp og pauser i appen.
Andre merker kobler seg opp mot lokal wifi, og kjører man f.eks inn på firmaets arealer, så kobler bilen uten aktivt samtykke opp på firmaets wifi. Samme firma har gitt kjøredata til media uten eiers samtykke ved kollisjoner også. Hvor lagres de dataene?
Så har vi 24/7 ekstern overvåking via video som muligens skulle vært varslet med skilt om videoovervåkning.
Sitat fra: tronde på søndag 29. desember 2024, klokken 15:05Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Hvilke tjenester krever at det faktisk lagres fysisk plassering?
Det blir lagret posisjon der du har parkert bilen, slik at du kan finne den igjen i Volkswagen appen. Det er en egen innstilling for å slå dette av i bilen. Man mister lite av å deaktivere lokasjon, kun informasjon om hvor bilen er parkert.
Man kan sette opp ladeprofiler som knyttes til posisjon (feks hjem). Men om dette lagres i bilen eller på en server hos Volkswagen, vet jeg ikke.
Innsamling av posisjon har en har godtatt i brukervilkårene (dersom en leser alt med liten skrift). Det som har gått helt galt her, er at disse dataene har vært tilgjengelige for uavhengige tredjeparter. F.eks. BMW har som vilkår at de også kan selge anonymiserte trafikkdata til tredjeparter, dersom en ikke eksplisitt reserverer seg mot dette. (Jeg husker ikke om VW har det samme).
Dataene brukes f.eks. til
- Sanntids trafikkdata. Bilens posisjon og hastighet brukes til å forutsi f.eks. kø, ofte mye raskere enn Google Maps fanger opp det samme. Hvis mange nok VW-biler står stille på E18, vil de som kommer bak bli rutet en annen vei.
- Ruteforslag. Dersom du hver morgen kjører til samme sted, vil dette etter noen dager dukke opp som et forslag til destinasjon når du starter bilen til samme tidspunkt neste dag
- Salg til tredjepart: F.eks. til offentlige myndigheter som vil ha trafikkdata for veiplanlegging etc
Jeg har også sett at BMW i tillegg til alle stopp, også sender posisjon og vitale data hver 30 min under kjøreturer. Dette er ikke tilgjengelig i app'en, men dersom du ber om en full data-dump på hva de har lagret på bilen dukker dette opp. Jeg tok i sin tid ut en full dump, da det ved innføring av tilgang til ladehistorikk dukket opp at de hadde denne informasjonen fra mye lenger tilbake enn hva det var gitt samtykke til (ved å gå direkte mot API'et, ikke via app). Det ironiske var at denne ekstrainformasjonen kom heller ikke med i data-dumpen, så det ble en lengre seanse med juridisk+teknisk avdeling på BMW for å vise dem hvordan jeg kunne hente ut informasjon (om meg selv) fra deres servere som de selv ikke tok med i den "komplette" eksporten.
Var det ikke slik at Tibber var treg med MEB-smartlading fordi de ikke fikk posisjonsdata i APIet? Og så har det hele tiden vært tilgjengelig i et sikkerhetshull ???
Sitat fra: RJK på søndag 29. desember 2024, klokken 15:13Sitat fra: tronde på søndag 29. desember 2024, klokken 15:05Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Hvilke tjenester krever at det faktisk lagres fysisk plassering?
Dersom du legger inn hjem, jobb og noen andre favoritter, så må jo det lagres fysisk posisjon.
Ja, men man behøver ikke å vite når bilen er (eller var) der.
Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 16:16Sitat fra: tronde på søndag 29. desember 2024, klokken 15:05Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Hvilke tjenester krever at det faktisk lagres fysisk plassering?
Det blir lagret posisjon der du har parkert bilen, slik at du kan finne den igjen i Volkswagen appen. Det er en egen innstilling for å slå dette av i bilen. Man mister lite av å deaktivere lokasjon, kun informasjon om hvor bilen er parkert.
Man kan sette opp ladeprofiler som knyttes til posisjon (feks hjem). Men om dette lagres i bilen eller på en server hos Volkswagen, vet jeg ikke.
Så lenge bilen er på nett kan man finne ut hvor den er ved å spørre den om posisjonen. Ingen grunn til å lagre mye data for å finne ut det.
Ladeprofiler krever heller ikke lagring av andre posisjoner enn at ved xx-posisjon ønsker jeg at følgende skal skje med bilen. Ingen grunn til å lagre at bilen faktisk er / har vært der.
Sitat fra: tronde på søndag 29. desember 2024, klokken 18:32Sitat fra: RJK på søndag 29. desember 2024, klokken 15:13Sitat fra: tronde på søndag 29. desember 2024, klokken 15:05Sitat fra: vinterdekk på søndag 29. desember 2024, klokken 11:07De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?
Hvilke tjenester krever at det faktisk lagres fysisk plassering?
Dersom du legger inn hjem, jobb og noen andre favoritter, så må jo det lagres fysisk posisjon.
Ja, men man behøver ikke å vite når bilen er (eller var) der.
Helt enig, men jeg tenkte det var unødvendig å presisere det. Svaret var som sagt for å vise at noen ting trenger den tilgang til å lagre posisjon på.
Skrev forøvrig i mitt første innlegg i tråden her, at det de henter inn er overkill av info, dog med noe alternativ tekst. ;)
"Her vanker det sannsynligvis en heftig bot, kanskje til og med rekordhøy med tanke på både VW sin størrelse, og størrelse på glippen/mengden data og antallet mennesker og bedrifter påvirket her, inkludert det som fremkommer om militære og myndighetseide kjøretøy/operatører."
Sitat fra: Orbit på søndag 29. desember 2024, klokken 16:29Dataene brukes f.eks. til
- Sanntids trafikkdata. Bilens posisjon og hastighet brukes til å forutsi f.eks. kø, ofte mye raskere enn Google Maps fanger opp det samme. Hvis mange nok VW-biler står stille på E18, vil de som kommer bak bli rutet en annen vei.
- Ruteforslag. Dersom du hver morgen kjører til samme sted, vil dette etter noen dager dukke opp som et forslag til destinasjon når du starter bilen til samme tidspunkt neste dag
- Salg til tredjepart: F.eks. til offentlige myndigheter som vil ha trafikkdata for veiplanlegging etc
Første punk kan gjøres anonymisert, andre punkt kan gjøres i bilen, tredje punkt er ett brudd på GDPR om det ikke eksplisitt er opplyst om dette lett oversiktlig. Liten skrift og hundre sider er ikke tillatt.
Men hovedproblemet her er mengden data over tid, og at det ikke er anonymisert.
Sitat fra: tronde på søndag 29. desember 2024, klokken 18:38Så lenge bilen er på nett kan man finne ut hvor den er ved å spørre den om posisjonen. Ingen grunn til å lagre mye data for å finne ut det.
Eller bilen kan sende en bilstatus når du forlater den og slipper å «vekkes» for å kommunisere med moderskipet (Volkswagen sine servere), og appen kan få siste posisjon øyeblikkelig når du åpner kartet.
Burde holde at bare siste posisjon var lagret, skulle man tro..
Det unngår også mye av «vampire drain». Bilen sender status til server hver gang det er en faktisk endring, og en trenger ikke vekke bilen hver gang du sjekker status i app'en.
Sitat fra: Orbit på søndag 29. desember 2024, klokken 21:59Det unngår også mye av «vampire drain». Bilen sender status til server hver gang det er en faktisk endring, og en trenger ikke vekke bilen hver gang du sjekker status i app'en.
Når jeg ser hvor mye data som er overført, tviler jeg på at det er et større tap å vekke bilen når man faktisk har nytte av å vite noe.
God analyse og forslag om hva Volkswagen kunne gjort annerledes fra starten. (Logging, behandle data ulikt basert på sensitivitet..)
https://youtu.be/8kXWQd_Yl5Y
Edit: Presentasjon fra CCC event (har ikke sett igjennom den foreløpig, originallyd er på tysk, finnes oversettelser). https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen
Blir nok mye popcorn av dette. Tyskere har totalt noia for alt som lukter overvåking, og nå er det deres egen storhet som er tatt med buksene nede.
Sitat fra: tronde på mandag 30. desember 2024, klokken 14:53Blir nok mye popcorn av dette. Tyskere har totalt noia for alt som lukter overvåking, og nå er det deres egen storhet som er tatt med buksene nede.
Helt enig. Fint at dette kommer opp. Slik at alle andre også kan lære av dette. Viktig å gripe tak i slikt