福斯汽車集團資料庫配置問題 致客戶資料公開網上

德國福斯（Volkswagen，VW）汽車集團因旗下軟體公司Cariad一個應用配置不當，導致多個品牌數十萬車主雲端資料庫可從外部存取而有外洩風險。但福斯汽車表示並沒有資料被竊取的跡象。

德國媒體明鏡（Spiegel）報導，非營利白帽駭客組織Chaos Computer Club（CCC）是獲得消息人士爆料進行測試確認後，再分別通報Cariad及福斯。福斯集團指出，CCC是於2024年11月26日通知該公司，Cariad後端系統API存在問題，致使任何人都可以從外部網路存取到客戶資訊，如果他們取得網址的話。

報導先是引述Cariad官方說法，CCC的安全研究人員先是獲知內部2個IT應用配置不當的漏洞，使其得以繞過安全措施而存取車主資料庫，但該公司聲稱，由於資料庫內使用假名，即使是專家也要一點工夫才能拼湊出車主真實資料。

不過明鏡周刊找來數位安全專家證明並沒有這麼困難。他們利用開源工具就能從曝光的Cariad系統找到憑證，循線存取Cariad內部應用的記憶體內容，再由其中挖掘出AWS上車主資料庫的存取金鑰。最後，他們看到這個AWS資料庫儲存了VW、Seat、Audi和Skoda等車款的逾80萬車主的個資，VW及Seat車款甚至有精確到以公分計的定位資訊。

以車主身分而言，80萬車輛中，有46萬車子定位資訊外洩。而近半車主是德國人，其中有30輛車子屬於漢堡市警局，還有一些屬於情報機關員工，車主還有至少2名德國政治人物。其他車主國籍包含英國、法國、比利時、荷蘭和丹麥及挪威。

Cariad公司對媒體指出，這批資訊只影響連網，且有註冊線上服務的車輛。福斯汽車則明確指出，API問題影響啟用線上功能及連結雲端的Audi Q4 e-tron和Q6 e-tron。可能曝險的資料包含主要使用者姓名、暱稱、電子郵件、用戶ID、VIN以及停車的位置，以及特定事件（哩程、氣候、警示訊息等）。支付或銀行資訊、密碼等敏感資訊未包含在內。

儘管曝險的資料很敏感，這家汽車大廠說，沒有證據顯示CCC以外還有別人曾經存取該API，且CCC也明確表示沒有資料外流。Cariad及福斯都說問題已經解決，客戶也不必變更密碼或任何存取碼。

這是福斯汽車今年第二度曝光的資安事件。2024年4月，報導指出福斯汽車在2010年到2015年間疑似遭中國駭客入侵，後者存取了近2萬份和電動車有關的敏感文件。