Autoforum

/

Foto: Volkswagen

Žádná anonymizovaná data, ale informace o každodenních zvycích téměř 1 milionu konkrétních osob unikly koncernu Volkswagen v souvislosti s provozem jeho elektromobilů. Němci zjevně ví, jak nakopnout zájem o tyto vozy.

Je to jedna z oblastí, ve které lidé teprve musí pochopit, jaká nebezpečí skrývá. Dnes a denně dávají stamiliony lidí po celém světě všanc zdánlivě nevýznamná, ve skutečnosti ale velmi důležitá citlivá data, která v rukou nepovolaných osob mohou napáchat nedozírné škody. A to často z naprosto banálních, pozitivní optikou bezvýznamných příčin.

Jako člověk, jehož hlavní pracovní náplní je vývoj a správa aplikací, které taková data používají, to jistě vnímám jinak než většina těch, kteří tutéž věc vidí jen zvenčí. Pravidelně jsem tak zděšen, když se čas od času nechám svézt kolegou, který vlastní moderní vůz značky Audi propojený s jeho chytrým mobilem skrze aplikaci zvanou myAudi. A on je nadšen, když mu po otevření dveří vozu mobil hlásí tip z navigace ve stylu „26 minut do místa Práce. Zahájit navádění k cíli?” Pak stačí jen jeden klik a auto je začne vést k nejobvyklejším cílům, kam míří během svých denních rutin.

Vždy se ho musím ptát: „Netrefíš do práce?” anebo „Netrefíš domů?” Protože jde opravdu vesměs o banální cesty, které absolvuje dnes a denně. Nikdy přitom nemusí nijak naznačovat, kam přesně míří, a algoritmy aplikace tak s 95%, možná ještě vyšší pravděpodobností odhadnou jeho aktuální cíl, i když sám kolikrát před pár hodinami nevěděl, že k němu zamíří. On je tím unešen, já jsem tím samým zděšen, neboť to jen ukazuje, jak se na základě dostatečně velkých dat dá precizně odhadovat, co budete dělat, aniž byste to předem věděli vy sami. A tato data se mohou dostat do rukou kohokoli.

Proto musím říci: Dávejte si pozor, co kohokoli necháte schraňovat, jednou to může být a velmi pravděpodobně bude zneužito proti vám. A je úplně jedno, kde ta data jsou a kdo je má k dispozici - otázkou je jen to, jak složitě se k nim půjde dostat, ale nikdy to nebude „nemožné”. Lidé jsou v tomto velmi liknaví, bagatelizují možné hrozby s tím, že přece „nedělají nic špatného”. Tomu věřím, ale někdo jiný dělá a ta data se mu mohou sakra hodit, přičemž předem nikdy nevíte, jak se v jednu chvíli nevýznamná informace může stát v jinou chvíli otázkou života a smrti.

Dám jeden hodně nepěkný, ale bohužel stejně hodně poučný příklad. Židé v Německu před nějakými 100 lety také neměli tušení, že dělají cokoli problematického, když ve sčítání lidu přiznali v nějakém formuláři, že jdou Židé. Stačila ale změna režimu a najednou se tato, svého času naprosto banální informace stala neuvěřitelně jednoduchou cestou k vyhledávání a shromažďování lidí, kteří mají být hromadně vražděni. Už s tímto na paměti žiji v duchu jednoduchého pravidla: Podobné věci nemám důvod nikomu říkat, protože po tom nikomu nic není.

Je to jen a pouze moje věc a jsou informace, které jakýkoli stát či jakákoli firma, prostě kdokoli absolutně nemá šanci jakkoli použít ve váš významný prospěch. Ten samý nebo jiný subjekt je ale může použít ve váš významný neprospěch, ať už se k nim dostal jakkoli. Ona zkušenost s myAudi je pro mě děsivý moderní příklad - opravdu mám problém v autě vybrat jeden z pár typických cílů asi třemi kliky místo jednoho, pokud už chci použít navigaci do známého cíle třeba kvůli využití online dopravních informací? Přijde mi to jako nicotné plus.

Ale to, že někdo má k dispozici celou paletu dat, která mu dovoluje na základě relativně primitivních algoritmů s vysokou přesností určovat, co budu dělat příští úterý v 16:00 hod, protože téměř všichni žijeme v zajetí určitých vyzpytatelných rutin, aniž bychom si to uvědomovali, to je potenciálně sakra velké minus. Někdo může přesně tuhle informaci vzít a na základě ní vám něco ukrást, někomu ve vašem okolí nějak ublížit nebo vám způsobit jinou škodu s minimálním rizikem pro něj.

A není to žádná teorie z katastrofických filmů, k těmto datům se může dostat opravdu kdokoli a dělat si s nimi cokoli. Iluze, že v IT dělá parta odpovědných profesionálů, kteří si pro jistotu šifrují i stažené filmy, je naprosto mylná. Jsou to lidé z masa a kostí, kteří mohou být stejně nedbalí jako dělníci, kteří vám v pátek odpoledne montují auto a zapomenou v něm utáhnout ten či onen šroub, jen za to berou pětkrát víc peněz.

Dokazuje to i nejnovější případ, o kterém informuje německý Spiegel. S ohledem na zkraje zmíněné se stěží dočká adekvátní pozornosti a naopak se stane terčem bagatelizace, ale je to ve skutečnosti průšvih jako hrom.

Koncernu Volkswagen totiž unikla velmi podrobná data o pohybu a dalším chování majitelů asi 800 tisíc elektrických aut všech jeho značek ve všech civilizovaných místech světa. Údaje spojené s vozy značek VW, Škoda, Audi a Seat byly ukládány na špatně zabezpečeném cloudovém řešení provozovaném Amazonem, takže si pro ně mohl „zajít” prakticky jakýkoli schopnější programátor, který měl jakoukoli motivaci se o věc zajímat. Data byla takto k dispozici dlouhodobě a nikdo z podstaty neví (ač může tvrdit opak), kým byla během té doby získána a k čemu také mohou být zneužita.

Popsanému učinil přítrž až někdo z odpovědnějších „ajťáků”, který si problému všiml a oznámil jej skupině „dobrých hackerů” sdružených pod hlavičkou Chaos Computer Clubu. Ten následně upozornil jak firmu Cariad, tedy softwarovou divizi koncernu VW, která měla fungování celé věci na starosti, tak německé úřady, aby na věc dohlédly. Cariad pak dostal měsíc na to, aby vše potichu vyřešil.

To se stalo, došlo k tomu ale až na sklonku letošního léta, do té doby byla zmíněná data spojená se všemi moderními elektrickými modely značek VW, Škoda, Audi a Seat k dispozici v zásadě komukoli. A šlo o velmi detailní údaje jako GPS souřadnice výskytu auta, kde je nastartované a kde naopak, kolik má nabité kapacity baterie apod. Nejednalo se navíc o anonymizované údaje, data byla spojena s konkrétně identifikovatelnými vozidly, které bylo možné v některých případech spojit s konkrétními uživateli. Spiegel informuje, že asi v 466 tisících případech byly údaje tak přesné, že si kdokoli mohl vytvořit podrobný profil chování konkrétních lidí. To je opravdu děsivé.

Znám je tak i seznam postižených majitelů, mezi které se řadí významní němečtí politici, podnikatelé, dokonce i policisté nebo dokonce agenti tajných služeb. Cariad ujišťuje pouze o tom, že uniklá data nezahrnovala data platebních karet či konkrétní hesla, ale to je tak všechno. S ohledem na to, že 800 tisíc aut budou snadno všechny moderní elektromobily, které koncern VW do léta 2024 prodal, a 466 tisíc je víc než polovina těchto aut, je v případě, že takové auto vlastníte a online služeb využíváte, velmi pravděpodobné, že o vás někdo právě teď ví skoro vše - zcela jistě mnohem víc, než by vám bylo příjemné.

Data se navíc dají propojovat navzájem. Stačí nad nimi pustit pár dotazů, abyste zjistili třeba to, že uživatel A a uživatel B se pravidelně vyskytují na stejném místě, přičemž uživatel B je muž a uživatel A žena. Pak už si stačí zjistit, že uživatel B je někdo bohatý či mocný, jehož manželkou rozhodně není uživatel A, a máte najednou prostor k vydírání a dosažení věcí, o který se vám ještě včera ani nesnilo. To vše od klávesnice počítače.

Spiegelem oslovení němečtí politici z věci pochopitelně nejsou nadšeni, někteří uniklá data, data označili za „šokující”, jiní celý případ popsali „otravný” nebo „trapný”. A vyzývají výrobce automobilů, aby zlepšili ochranu v této oblasti. K tomu vám ale mohou říci jedno: Žádná stoprocentní ochrana v této oblasti neexistuje. Jediná data, která nelze zneužít, jsou ta, která nikdo nemá k dispozici nebo pro nikoho krom vás nejsou fyzicky dostupná. Pokud ale budou součástí jakékoli online služby, mohou kdykoli dopadnout přesně jako tato.

Osobně tyto věci nepoužívám a používat nikdy nebudu, nejvíc mě uklidňuje ježdění s autem, které žádné připojení k „vnějšímu světu” nemá. Je fascinující, že EU svými regulacemi v rámci kybernetického zabezpečení vyžaduje od letoška právě to, tedy aby auta byla do jednoho online. Reálně nejbezpečnější „offline auto” už se v zemích Unie legálně prodávat nesmí. „Kde jsi včera byl a s kým? Ty můj kvítku medový, to se nikdo nedoví,” je píseň z roku 1972, jejíž relevantnost pro dnešní dobu je zřetelně nulová.

Zdroj: Spiegel

Petr Miler