Birçok kişi hackerların kişisel verilerini çalmasından endişe duyarken, bazen en kötü ihlaller gölgeli siber suçlulardan değil, güvendiğimiz şirketlerden doğrudan gelir. Almanya’dan yeni bir rapora göre, VW Grubu, çeşitli markalardan 800.000 elektrikli araç için hassas bilgileri, zayıf bir şekilde güvenlikli ve yanlış yapılandırılmış bir Amazon bulut depolama sisteminde depoladı – temelde herkesin içeri girmesi için dijital kapıyı açık bıraktı. Ve sadece kısaca değil, aylarca boyunca.
Bu ihlal, Audi, VW, Seat ve Skoda markalarındaki tamamen elektrikli modelleri etkiler ve yalnızca Almanya’da değil, Avrupa ve dünyanın diğer bölgelerindeki araçları da etkiler. Açığa çıkan veriler hazinesinde GPS koordinatları, pil şarj seviyeleri ve araç durumuna ilişkin diğer önemli detaylar, örneğin açık mı yoksa kapalı mı olduğu gibi bilgiler yer alıyordu. Evet, doğru bilgilere sahip olan biri, arabanızın nerede olduğunu ve alışkanlıklarını rahatlıkla öğrenebilirdi.
Ne Kadar Kötü? Gerçekten Kötü.
Daha da kötüsü, daha teknik bilgili bir kullanıcı, VW Grubu’nun çevrimiçi hizmetleri aracılığıyla erişilebilen ek veriler sayesinde araçları sahiplerinin kişisel kimlik bilgilerine bağlayabilirdi. Spiegel’in bildirdiğine göre, etkilenen 800.000 kişinin büyük listesi sadece sıradan insanların kim olduğu değil. Alman politikacıları, girişimciler, Hamburg polis memurları (tüm elektrikli araç filosu) ve hatta şüpheli istihbarat servis çalışanlarını da içeriyor. Evet, casuslar bile bu dijital felakete yakalanmış olabilir.
Sebep: Bir Yazılım Hatası
Bu çarpıcı hata, Cariad adlı ve yazılıma odaklanan bir VW Grubu şirketi tarafından, 2024 yazında meydana gelen bir hata nedeniyle ortaya çıktı. Anonim bir ihbarcı, hassas bilgilere ulaşmak için serbestçe erişilebilen yazılımı kullandı ve hızla Avrupa’nın en büyük hacker birliği olan Chaos Computer Club (CCC)’ye haber verdi.
CCC, Aşağı Saksonya Eyalet Veri Koruma Sorumlusu, İçişleri Bakanlığı ve diğer güvenlik kurumlarıyla iletişime geçmek için zaman kaybetmedi. Ayrıca, VW Grubu ve Cariad’a konuyu kamuoyuna açıklamadan önce sorunu ele almaları için 30 gün verdiler. CCC’ye göre, Cariad’ın teknik ekibi “hızlı, kapsamlı ve sorumlu bir şekilde yanıt verdi” ve müşterilerinin verilerine yetkisiz erişimi engelledi. Spiegel’e yaptığı açıklamada Cariad, şifreler veya ödeme bilgileri gibi hassas bilgilerin ifşa edilmediğini, “şifreler veya ödeme bilgileri gibi hassas bilgilerin etkilenmediğini” vurgulayarak müşterilerin herhangi bir işlem yapmasına gerek olmadığını belirtti. Ancak yayın, bu verilerin suçlular, dolandırıcılar, şantajcılar veya hatta takipçiler dahil olmak üzere yanlış ellere ne kadar kolay düşebileceği konusunda endişelerini dile getirdi ve etkilenen elektrikli araç sahipleri için ciddi bir tehdit oluşturdu.
“Şok Edilen” Politikacılar Eylem Talep Ediyor
Anlaşılacağı üzere, Alman politikacılar kendilerini etkilenen taraflar listesinde bulmaktan memnun değillerdi. Verilerini Spiegel ile inceleyen bir politikacı bulguları “şok edici” olarak nitelendirirken, bir diğeri olayı açıkça “sinir bozucu ve utanç verici” olarak nitelendirdi. Her ikisi de yerel otomobil üreticilerini siber güvenlik oyunlarını önemli ölçüde iyileştirmeye çağırdı.
Bu, büyük bir otomobil üreticisini içeren ve müşterilerinin gizliliğini ihlal eden ilk olay değil. Geçen yıl, Toyota, Japonya’daki 2,15 milyon araç sahibiyi etkileyen büyük bir veri ihlalini kabul etti.
Ne yazık ki, bu, bir otomobil üreticisinin müşteri verilerini yanlışlıkla ele geçirdiği ilk olay değil. Geçen yıl, Toyota, Japonya’daki 2,15 milyon araç sahibiyi etkileyen büyük bir ihlali kabul etti. Açıkçası, otomotiv endüstrisinin, buluttaki kullanıcı verilerini koruma konusunda öğrenmesi gereken çok şey var.
Bazen, sorun bir güvenlik ihlali bile değil. The New York Times’tan bu yılın başlarında yayınlanan çarpıcı bir rapora göre, GM dahil olmak üzere çok sayıda otomobil üreticisi, sürücü verilerini sigorta şirketlerine satıyor ve bu da birçok sürücü için daha yüksek primlere yol açıyor.
Otomobil Üreticileri Bu Karmaşayı Düzeltebilir mi?
Riskler hiç bu kadar yüksek olmamıştı. Bağlantı özellikleri ve bulut tabanlı hizmetler modern araçlarda standart hale geldikçe, otomobil üreticilerinin sadece yetişmeye çalışmaktan daha fazlasını yapması gerekiyor. Müşteriler, şirketlerin gizliliklerini koruyacağına güvenemiyorsa, bu yüksek teknolojili özelliklerin tümünü benimsemek konusunda iki kez düşünebilirler.
Şimdi otomotiv endüstrisi, siber güvenliği, trafik güvenliğiyle aynı acillikle ele almalıdır – çünkü şu anda bazı şirketler dijital pencereleri açık halde araç kullanıyor gibi görünüyor.
Leave a Reply