Μια σημαντική ευπάθεια ασφαλείας στα συστήματα του ομίλου της Volkswagen είχε ως αποτέλεσμα μια διαρροή δεδομένων, που επηρεάζει περίπου 800.000 ηλεκτρικά οχήματα σε ολόκληρη την Ευρώπη και άλλα μέρη του κόσμου.
Ο γερμανικός όμιλος αποθήκευσε ευαίσθητες πληροφορίες -όπως συντεταγμένες GPS, επίπεδα φόρτισης μπαταρίας και άλλες βασικές λεπτομέρειες σχετικά με την κατάσταση του οχήματος, ήτοι αν ήταν ενεργοποιημένο ή απενεργοποιημένο- σε μια ελλιπώς προστατευμένη cloud υπηρεσία της Amazon, ουσιαστικά αφήνοντας την ψηφιακή πόρτα ορθάνοιχτη για μήνες. Τα δεδομένα που διέρρευσαν περιλαμβάνουν πληροφορίες για τα αυτοκίνητα των VW, Audi, Seat και Skoda.
Τα δεδομένα τοποθεσίας που διέρρευσαν, όταν διασταυρωθούν με άλλες -δημόσια διαθέσιμες μέσω διαδικτύου- πληροφορίες, θα μπορούσαν να συνδεθούν με τα ονόματα και τα στοιχεία επικοινωνίας των ιδιοκτητών τους. Αυτό εγείρει σοβαρές ανησυχίες σχετικά με το απόρρητο, καθώς τέτοια δεδομένα θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία λεπτομερών προφίλ μετακίνησης των ατόμων.
Το σφάλμα ασφαλείας εντοπίστηκε και αναφέρθηκε στη θυγατρική εταιρεία λογισμικού της Volkswagen, Cariad, από το Chaos Computer Club (CCC), τη μεγαλύτερη ένωση χάκερ στην Ευρώπη. Η CCC δεν έχασε χρόνο επικοινωνώντας με τον υπεύθυνο προστασίας δεδομένων της Κάτω Σαξονίας, το ομοσπονδιακό υπουργείο εσωτερικών και άλλους φορείς ασφαλείας.
Έδωσαν, επίσης, στη VW Group και στην Cariad 30 ημέρες για να αντιμετωπίσουν το ζήτημα πριν το κάνουν γνωστό δημόσια. Σύμφωνα με το CCC, η τεχνική ομάδα της Cariad “απάντησε γρήγορα, διεξοδικά και υπεύθυνα” εμποδίζοντας τη μη εξουσιοδοτημένη πρόσβαση στα δεδομένα των πελατών της. Η Cariad απέδωσε την παραβίαση σε μια “λανθασμένη διαμόρφωση”, έναν όρο που υποδηλώνει ένα τεχνικό σφάλμα ότι θα μπορούσε να αποφευχθεί μέσω των ρυθμίσεων του συστήματος, και όχι μια περίπλοκη επίθεση hacking.
Η Volkswagen δήλωσε ότι, μέχρι σήμερα, δεν υπάρχουν στοιχεία που να υποδηλώνουν κακή χρήση των δεδομένων από τρίτους. Τονίζει επίσης ότι δε διέρρευσε καμία ευαίσθητη πληροφορία, όπως κωδικοί πρόσβασης ή δεδομένα πληρωμής, με την Cariad να επιμένει ότι τα δεδομένα δεν συνδυάστηκαν ποτέ εντός του ομίλου με τρόπο που θα επέτρεπε τη δημιουργία ατομικών προφίλ κίνησης.
Η εταιρεία υποστηρίζει ότι τα δεδομένα τοποθεσίας συλλέχθηκαν για τη βελτίωση της τεχνολογίας της μπαταρίας και του σχετικού λογισμικού. Αυτή η εξήγηση, ωστόσο, ελάχιστα μειώνει τις ανησυχίες σχετικά με την πιθανότητα κακής χρήσης των ευαίσθητων πληροφοριών τοποθεσίας.