Obsežno uhajanje podatkov pri Volkswagnu je razkrilo gibanje 800.000 lastnikov električnih vozil

Veliko ljudi skrbi, da bi hekerji ukradli njihove osebne podatke, vendar včasih pride do najhujših kršitev v podjetjih, ki jim zaupamo. Iz Nemčije prihajajo poročila, da je skupina Volkswagen občutljive podatke za 800.000 električnih vozil svojih blagovnih znamk hranila v slabo zavarovanem in napačno konfiguriranem sistemu za shranjevanje podatkov v Amazonovem oblaku - s tem so bila digitalna vrata na široko odprta za vsakogar, ki je želel vstopiti. In to ne le za kratek čas, temveč za več mesecev.

Vdor je prizadel električne modele znamk Audi, Volkswagen, Seat in Škoda, pri čemer ne gre le za vozila v Nemčiji, temveč po vsej Evropi in drugih delih sveta. Med zakladnico razkritih podatkov so bile tudi koordinate GPS, stopnje napolnjenosti baterije in druge ključne podrobnosti o stanju vozila, na primer ali je bilo vklopljeno ali izklopljeno. Tako je nekdo z ustreznim znanjem in izkušnjami lahko vohunil za individualnim voznikom, opazoval, kje je parkiral avtomobil in kakšne so njegove navade.

Kako slabo je? Res slabo.
Novica postaja še srhljivejša. Tehnično spretnejši uporabnik bi lahko vozila povezal z osebnimi poverilnicami njihovih lastnikov in to zaradi dodatnih podatkov, dostopnih prek spletnih storitev skupine VW.

V 466.000 od 800.000 primerov so bili podatki o lokaciji tako natančni, da bi lahko vsakdo, ki bi imel dostop, ustvaril podroben profil vsakodnevnih navad posameznega lastnika. Kot poroča časnik Der Spiegel, obsežen seznam prizadetih lastnikov ni le seznam običajnih ljudi. Na njem so nemški politiki, podjetniki, hamburški policisti (celoten vozni park električnih vozil) in celo domnevni uslužbenci obveščevalnih služb!

Vzrok: napaka v programski opremi
Ugotovili so, da je za napako odgovorno Volkswagnovo hčerinsko podjetje Cariad, ki skrbi za razvoj programske opreme. Nek anonimni žvižgač je uporabil prosto dostopno programsko opremo, da se je dokopal do občutljivih informacij in nemudoma opozoril Chaos Computer Club (CCC), največje evropsko združenje hekerjev. CCC ni izgubljal časa in se obrnil na urad za varstvo podatkov Spodnje Saške, zvezno ministrstvo za notranje zadeve in druge varnostne organe. Skupini VW in Cariadu so dali 30 dni časa, da rešita težavo. Po navedbah CCC se je Cariadova tehnična ekipa "odzvala hitro, temeljito in odgovorno" ter blokirala nepooblaščen dostop do podatkov svojih strank. Družba Cariad je v izjavi za Der Spiegel strankam zagotovila, da niso bili izpostavljeni nobeni občutljivi podatki, kot so gesla ali podatki o plačilnih karticah. Novinarji časopisa so sicer izrazili zaskrbljenost, kako bi lahko ti podatki zlahka prišli v napačne roke, vključno s kriminalci, goljufi, izsiljevalci ali celo zalezovalci, kar bi resno ogrozilo prizadete lastnike električnih vozil.

"Šokirani" politiki zahtevajo ukrepe
Nemški politiki razumljivo niso bili navdušeni, ko so se znašli na seznamu prizadetih strank. Ena od političark, ki je pri Der Spieglu pregledala svoje razkrite podatke, je tudi Nadja Weippert, poslanka stranke Zelenih na Spodnjem Saškem in županja občine Tostedt v okrožju Harburg. Ugotovitve je označila za "šokantne", drugi politik, Markus Grübel, pa je vdor opisal kot "nadležen in sramoten". Oba sta pozvala lokalne proizvajalce avtomobilov, naj drastično izboljšajo svojo kibernetsko varnost.

Žal to ni prvi primer, ko je avtomobilski proizvajalec izgubil podatke o strankah. Lani je Toyota priznala obsežen kibernetski vdor, ki je prizadel 2,15 milijona lastnikov vozil na Japonskem. Včasih pa sploh ne gre za kibernetsko kršitev. V začetku tega leta je denimo New York Times objavil šokantno poročilo, v katerem je razkril, da so številni avtomobilski proizvajalci - vključno z družbo GM, ki se zdaj sooča s tožbami - prodajali podatke o voznikih zavarovalniški industriji, kar je mnogim voznikom zvišalo premije.