Grupul Volkswagen, acuzat că nu a protejat datele personale a 800.000 de utilizatori de mașini

Un articol publicat de Der Spiegel în primele zile ale lui 2025 arată că mai mulți posesori de modele ale grupului Volkswagen au descoperit o scurgere de date personale precum poziția mașinilor, numele complet al proprietarului, adresa locuințelor acestora, e-mail-ul, numere de telefon, etc.

„Aflat deja în dificultate, Volkswagen a fost lovit acum de un coșmar în materie de protecție a datelor. Detalii de localizare de la 800.000 de vehicule electrice și informații de contact ale proprietarilor au fost accesibile fără protecție pe internet. Iar compania nici măcar nu știa despre asta”, scriu jurnaliștii Der Spiegel.

Informațiile primite de la mai mulți posesori de mașini ale grupului german, printre care și politicieni, secretari de stat, directori de companii sau autorități locale, au fost verificate de jurnaliști, aceștia ajungând la concluzia că filiala de software a grupului, Cariad, cea care a creat programele de asistență din mașini, a folosit pentru stocarea datelor provenite de la mașini un serviciu cloud al Amazon. Acesta a fost accesibil însă fără protecție, iar datele de utilizare și localizare ale mașinilor pot fi legate, fără mare dificultate, de cele ale posesorilor.

„Este mai mult decât un pas greșit, jenant, pentru o companie care se confruntă deja cu probleme majore. Este o rușine. O gafă devastatoare cu software-ul companiei, un domeniu în care Volkswagen este deja cu mult în urma concurenței”, notează Der Spiegel.

Conform publicației, pentru aproximativ jumătate dintre cei afectați, inclusiv proprietari ai modelelor ID.3 și ID.4, datele sunt deosebit de detaliate. Pentru aceste vehicule se poate vedea exact când au fost pornite, când și unde au fost oprite. Majoritatea datelor datează din 2024, deși unele dintre ele sunt mai vechi.

Atenționați de Chaos Computer Club (CCC) și Der Spiegel, reprezentanții Cariad și-au exprimat recunoștința că au fost informați despre problemă, nu i-au minimizat gravitatea și au solicitat informații suplimentare. Ulterior, breșa de securitate a fost închisă.

Este însă grav că datele din cloud-ul cu pricina ofereau acces la un alt serviciu oferit de Volkswagen proprietarilor de mașini. Este vorba despre aplicația prin care utilizatorii mașinilor își pot crea câte un profil personal pentru ca mașina să le cunoască preferințele. Astfel au putut fi legate informațiile despre poziționarea mașini de cele precum adrese de e-mail și, în unele cazuri, adresa de domiciliu și numerele de telefon mobil.

În acest context, cei de la Cariad au declarat pentru Der Spiegel, evitând să folosească expresia „breșă de securitate”, ci doar pe cea de „configurare incorectă” a soft-ului, că „din câte știm noi, nimeni altcineva în afară de CCC nu a accesat sistemele și nu avem indicii privind utilizarea abuzivă a datelor de către terți”. Compania nu a finalizat însă analiza incidentului.

Tot Cariad menționează că utilizatorii mașinilor „nu trebuie să facă nimic, deoarece nu au fost afectate date sensibile precum parolele sau informațiile de plată”. Cu toate acestea, ei pot „decide în mod liber dacă doresc să utilizeze produse și servicii care necesită prelucrarea datelor cu caracter personal. Toate vehiculele cu funcții online oferă opțiunea de a le dezactiva în orice moment”.

Volkswagen nu este singurul producător auto care se confruntă cu probleme de securizare a datelor colectate de la clienți. În ianuarie 2023, o echipă condusă de hacker-ul Sam Curry din Omaha (SUA), a demonstrat că a putut intra în voie în conturile de utilizator ale angajaților și vânzătorilor BMW și să arunce o privire asupra documentelor de vânzare. De asemenea, acesta a reușit să pătrundă în aplicația de chat a companiei Mercedes-Benz.

Breșe de securitate găsite de hackeri la KIA au fost și mai grave: aceștia au putut să deblocheze de la distanță vehicule ale producătorului auto sud-coreean și chiar să le pornească motoarele. Din fericire, Curry și echipa sa sunt „hackeri white-hat”, care au procedat într-un mod similar cu CCC în cazul incidentului Cariad – au informat companiile implicate și problemele au fost corectate.

Printre experții în securitate cibernetică așa-numitul „Jeep hack” a dobândit chiar un statut aproape legendar. În 2015, doi experți IT au reușit să acceseze de la distanță sistemul electronic al mașinii prin intermediul modulului radio încorporat și au putut controla frânele, viteza și sistemul audio al vehiculului. Incidentul a dus la rechemarea în service a 1,4 milioane de vehicule Jeep pentru a primi o actualizare de software care să le protejeze de astfel de atacuri.