精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

據12月27日混沌計算機俱樂部(Chaos Computer Club)就該事件發布的報告，未能妥善保護其亞馬遜網絡服務(AWS)環境的訪問權限是近期大眾汽車大規模數據泄露的根本原因之一。

幫助揭露此次泄露的安全分析師表示，這家市值3510億美元的汽車制造商未對來自超過1500萬輛注冊車輛的敏感客戶數據進行截斷或加密，從而違反了其自身的服務條款以及監管要求，特別是《通用數據保護條例》(GDPR)。

名為Flüpke的IT安全分析師告訴聽眾：“他們收集的數據太多了。如果你想評估電池安全性，那么你不需要位置數據。”

他指出，大眾汽車收集的數據包含廣泛的信息，包括用戶數據(如姓名、電子郵件地址、出生日期和實際地址)、汽車數據(如車輛識別碼、型號、年份和完整用戶ID)，以及電動車(EV)數據點(如里程表讀數、電池溫度、電池狀態、充電狀態和警示燈數據)。

車輛保留數太字節關于駕駛員的敏感信息這一問題并非新鮮事，但最近情況變得更為嚴重，部分原因是電動車收集的信息要多得多。有關車輛數據保留問題的報道早在四年多前就開始出現。

問題在于，汽車制造商被要求保留其中一些數據。例如，Flüpke指出，自2018年以來，歐盟已要求收集和共享一些車輛數據，這是歐盟為在發生嚴重事故時自動向涉事車輛提供援助所做努力的一部分。

Flüpke表示，他通過結合使用包括Subfinder、GoBuster和Spring在內的各種編碼工具發現了大眾汽車的數據問題。使用這些工具，Flüpke說他能夠從大眾汽車內部環境中檢索到Heap Dump文件，因為它沒有密碼保護。Heap Dump文件列出了Java虛擬機(JVM)中的各種對象，可以揭示內存使用的詳細信息。這本應用于監控性能指標和進行自省檢查。

在該Heap Dump文件中，以明文形式列出了各種有效的AWS憑證。當Flüpke就這些憑證的發現與大眾汽車對質時，他引述該公司的說法稱，“數據的訪問發生在一個非常復雜的多層過程中。”

Flüpke說，雖然這沒錯，而且后端并非面向終端用戶，而是用于令牌交換，“但你可以使用任意userID生成一個JWT令牌，這是一個沒有密碼的身份驗證令牌。這很有用，因為你可以給它一個userID，然后突然你就成了那個用戶。我們無法用此遠程駕駛汽車，但我們可以使用來自此身份提供者的API進行身份驗證并訪問用戶數據。”

同樣分析了這些數據的數據記者Michael Kreil在會議發言中表示，9.5TB的事件數據中包含地理數據坐標，其中一些坐標的準確度在10厘米以內。它揭示了人們去哪里上班、何時在何處購物、送孩子上哪所學校，以及執法人員的住處等信息。

Flüpke說，在數據泄露事件發生后，大眾汽車在得知這一問題后立即使AWS憑證失效。

企業網D1net(hfnxjk.com)：

國內主流的to B IT門戶，旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。