Datalekkasje hos Volkswagen, 80 000 av de berørte bilene er norske

[Tesla88]

https://www-spiegel-de.translate.goog/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027?_x_tr_sl=auto&_x_tr_tl=no

[vinterdekk]

Interessant at Cariad kaller dette en feilkonfigurasjon. La oss håpe at det er det og ikke hull i programvaren. Det ville jo ikke tatt seg ut.

Urelatert til dette så slo jeg av posisjonsdata i bilen for noen uker siden, for å teste noe. Den eneste nytten med posisjonsdata som jeg har lagt merke til, er at Volkswagen app'en viser hvor bilen er parkert. Denne informasjonen finnes også i kart-applikasjonen på iPhone (så lenge jeg er den siste som har brukt bilen).

Mao. posisjonsdata [i VAG-bil] er ikke noe man må ha påslått hele tiden, og som artikkelen viser så er det mange måter å misbruke slik informasjon når det kommer på avveie.

[Electric cars in Norway]

Svært interessant og bra sikkerhethullet er tettet.

Ja det viser sårbarheten i alt rundt oss dette her

[vinterdekk]

VG har en artikkel om saken.

https://www.vg.no/nyheter/i/Gynpg9/gigantisk-datalekkasje-slik-ble-80-000-biler-sporet-i-norge

Helt klart reiser dette spørsmål om hvor mye og hvor lenge bilprodusentene lagrer slike data. Volkswagen lagrer f.eks. bare lokasjonsdata når man parkerer bilen (og bare på brukerprofilen som er aktivert i bilen ser det ut til), antagelig er det gjort slik av personvernhensyn. Men hvorfor har de da samlet inn dette i halvannet år tilbake i tid? Det er som at VAG bygger inn mange restriksjoner for å være «korrekte» men er ikke så nøye i gjennomføringen.

[turfsurf]

Helt klart reiser dette spørsmål om hvor mye og hvor lenge bilprodusentene lagrer slike data. Volkswagen lagrer f.eks. bare lokasjonsdata når man parkerer bilen (og bare på brukerprofilen som er aktivert i bilen ser det ut til), antagelig er det gjort slik av personvernhensyn. Men hvorfor har de da samlet inn dette i halvannet år tilbake i tid? Det er som at VAG bygger inn mange restriksjoner for å være «korrekte» men er ikke så nøye i gjennomføringen.

Det er i utgangspunktet ingen grunn til å lagre lokasjonsdata, det er ett grovt overtramp fra VW sin side. Det at det knyttes opp mot brukerprofil gjør det jo enda værre, siden man da kan spore den enkelte spesifikt.

Men de er nok ikke de eneste.

Er jo faktisk helt patetisk at de prøver å unnskylde seg med at ingen ondsinnete har fått tilgang. Det største problemet er jo ikke tilgangen, men at de faktisk samler inn så mye data.

Hvis ikke dette er ett brudd på GDPR og fører til en massiv bot så skjønner ikke jeg noe som helst.

[vinterdekk]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

[RJK]

Jeg er dessverre ikke akkurat overrasket over at og hva de har samlet inn, men dette er ikke bare en ripe i lakken, dette er en kraftig flenge i karosseriet på selskapet.

Men Ola og Kari Nordmann vil vel klare å se gjennom fingrene med dette sikkerhetsbruddet, som de stort sett gjorde med #dieselgate. Stort sett bare myndighetene som brøy seg, og ga bøter i tillegg til at noen ledere ble ofret for å reddet selskapets felles ansikt utad.

Nordmenn flest var mest glad for at ytelsen ikke hadde blitt skrudd ned for å faktisk følge kravene, men var derimot veldig bekymret for om endringene som måtte gjøres, ville gi færre hestekrefter og/eller lavere dreiemoment. Bekymret var man dog for at forbruket var høyere enn lovet, da det ville føre til høyere kostnader på ekstra forbruk av drivstoff.

Men den ekstra belastende påvirkningen på miljøet dreit de fleste eierne i...

Helt klart reiser dette spørsmål om hvor mye og hvor lenge bilprodusentene lagrer slike data. Volkswagen lagrer f.eks. bare lokasjonsdata når man parkerer bilen (og bare på brukerprofilen som er aktivert i bilen ser det ut til), antagelig er det gjort slik av personvernhensyn. Men hvorfor har de da samlet inn dette i halvannet år tilbake i tid? Det er som at VAG bygger inn mange restriksjoner for å være «korrekte» men er ikke så nøye i gjennomføringen.

Det er i utgangspunktet ingen grunn til å lagre lokasjonsdata, det er ett grovt overtramp fra VW sin side. Det at det knyttes opp mot brukerprofil gjør det jo enda værre, siden man da kan spore den enkelte spesifikt.

Men de er nok ikke de eneste.

Er jo faktisk helt patetisk at de prøver å unnskylde seg med at ingen ondsinnete har fått tilgang. Det største problemet er jo ikke tilgangen, men at de faktisk samler inn så mye data.

Hvis ikke dette er ett brudd på GDPR og fører til en massiv bot så skjønner ikke jeg noe som helst.

Helt enig i dine tanker her. Her vanker det sannsynligvis en heftig bot, kanskje til og med rekordhøy med tanke på både VW sin størrelse, og størrelse på glippen/mengden data og antallet mennesker og bedrifter påvirket her, inkludert det som fremkommer om militære og myndighetseide kjøretøy/operatører. 

[turfsurf]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

Klart de må lagre lokasjoner der ting er aktivert basert på lokasjon. Men de behøver ikke å lagre lokasjonshistorikk. Altså når og hvor ofte man er ett sted.

[hELgenen]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

Klart de må lagre lokasjoner der ting er aktivert basert på lokasjon. Men de behøver ikke å lagre lokasjonshistorikk. Altså når og hvor ofte man er ett sted.

Min erfaring med tyske utviklere tilsier at dette er gjort med hensikt fordi man da kan komme med en fiks senere......

PS. Jeg tuller ikke!

[vinterdekk]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

Klart de må lagre lokasjoner der ting er aktivert basert på lokasjon. Men de behøver ikke å lagre lokasjonshistorikk. Altså når og hvor ofte man er ett sted.

Enig i det, ikke behov for å lagre mer enn nødvendig for å tilby tjenestene. Noen ganger må man lagre mer for å utvikle og overvåke tjenestene, men det betyr ikke at man må lagre så mye som det har kommet fram i Der Spiegel.

[tronde]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

Hvilke tjenester krever at det faktisk lagres fysisk plassering?

[RJK]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

Hvilke tjenester krever at det faktisk lagres fysisk plassering?

Dersom du legger inn hjem, jobb og noen andre favoritter, så må jo det lagres fysisk posisjon.

[daktari]

Pinlig datainnbrudd. Vi får nok se flere slike i fremtiden. Har ikke USA og Kina lovfestet rett til bakdører til viktige data i respektive land?

De MEB-bilene har visning av posisjon på kart i appen. Vil tro de synker dette mot server, og ikke bare kobler mot bil.

Da jeg eide en så fikk man derimot ingen historikk over kjøreturer. De har også dette med at hvis en bruker er innlogget i bilen så får en annen bruker ikke tilgang til noe fjernstyring. Man må også godkjenne at bilen logger deg hver tur ved å velge bruker.

På BMWen nå så vises full kjørehistorikk med start, stopp og pauser i appen.

Andre merker kobler seg opp mot lokal wifi, og kjører man f.eks inn på firmaets arealer, så kobler bilen uten aktivt samtykke opp på firmaets wifi. Samme firma har gitt kjøredata til media uten eiers samtykke ved kollisjoner også. Hvor lagres de dataene?
Så har vi 24/7 ekstern overvåking via video som muligens skulle vært varslet med skilt om videoovervåkning.

[vinterdekk]

De må jo lagre lokasjoner for at enkelte funksjoner skal virke, eller har du en annen løsning turfsurf?

Hvilke tjenester krever at det faktisk lagres fysisk plassering?

Det blir lagret posisjon der du har parkert bilen, slik at du kan finne den igjen i Volkswagen appen. Det er en egen innstilling for å slå dette av i bilen. Man mister lite av å deaktivere lokasjon, kun informasjon om hvor bilen er parkert.

Man kan sette opp ladeprofiler som knyttes til posisjon (feks hjem). Men om dette lagres i bilen eller på en server hos Volkswagen, vet jeg ikke.

[Orbit]

Innsamling av posisjon har en har godtatt i brukervilkårene (dersom en leser alt med liten skrift). Det som har gått helt galt her, er at disse dataene har vært tilgjengelige for uavhengige tredjeparter. F.eks. BMW har som vilkår at de også kan selge anonymiserte trafikkdata til tredjeparter, dersom en ikke eksplisitt reserverer seg mot dette. (Jeg husker ikke om VW har det samme).

Dataene brukes f.eks. til

• Sanntids trafikkdata. Bilens posisjon og hastighet brukes til å forutsi f.eks. kø, ofte mye raskere enn Google Maps fanger opp det samme. Hvis mange nok VW-biler står stille på E18, vil de som kommer bak bli rutet en annen vei.
• Ruteforslag. Dersom du hver morgen kjører til samme sted, vil dette etter noen dager dukke opp som et forslag til destinasjon når du starter bilen til samme tidspunkt neste dag
• Salg til tredjepart: F.eks. til offentlige myndigheter som vil ha trafikkdata for veiplanlegging etc

Jeg har også sett at BMW i tillegg til alle stopp, også sender posisjon og vitale data hver 30 min under kjøreturer. Dette er ikke tilgjengelig i app'en, men dersom du ber om en full data-dump på hva de har lagret på bilen dukker dette opp. Jeg tok i sin tid ut en full dump, da det ved innføring av tilgang til ladehistorikk dukket opp at de hadde denne informasjonen fra mye lenger tilbake enn hva det var gitt samtykke til (ved å gå direkte mot API'et, ikke via app). Det ironiske var at denne ekstrainformasjonen kom heller ikke med i data-dumpen, så det ble en lengre seanse med juridisk+teknisk avdeling på BMW for å vise dem hvordan jeg kunne hente ut informasjon (om meg selv) fra deres servere som de selv ikke tok med i den "komplette" eksporten.