A VW kapcsán rövid időn belül a második jelentős kiberbiztonsági hibára derült fény. Szó volt arról, hogy több mint 1 millió személyautónál találtak olyan sebezhetőséget, ami akár az utasok lehallgatására is lehetőséget biztosíthatott hackereknek. Most pedig már arról számolhatunk be, hogy 800 ezer autóból kerülhettek ki rendkívül érzékeny információk az internetre.
Nevek, e-mail címek, telefonszámok, GPS adatok, utazási információ kerülhettek rossz kezekbe, és nemcsak a Volkswagenek fedélzeti rendszeréből, hanem a csoport más márkáitól is, ide értve a Skodát, az Audit vagy éppen a Seatot.
Az esetről először egy névtelen szivárogtató értesítette a Der Spiegel lapot értesítette, valamint felvette a kapcsolatot a Chaos Computer Club hackercsoporttal, ami Európán belül a legnagyobb ilyen jellegű szervezet. Innen indultak el a komolyabb nyomozások a hatóságok bevonásával. Az ügy minden részlete egyelőre még nem ismert, de a jelek szerint a probléma forrása a Cariadnál volt, ahol nem megfelelően jártak el az Amazon felhős tárhelyeinek használata során, így válhatott online elérhetővé elképesztő mennyiségű érzékeny információ.
A Cariad a VW csoport saját szoftverekkel foglalkozó leányvállalata, amit 2020-ban alapított meg a vállalat. Erre azért volt szükség, hogy a kiélezettebb szoftveres versenyben hatékonyabban tudjon a cég helytállni, ugyanis ilyen téren nagyon komoly lemaradásokkal küzdött. Hatalmas felelősség hárul a Cariad fejlesztéseire, és a jelek szerint megesik, hogy hibázik az alvállalat a munkája során. Ez most jelentős bizalomvesztésbe kerülhet, és örülhet a cég, ha nem derül ki, hogy visszaéléseket is elkövettek az Amazon felhős adattároló szolgáltatásán keresztül elérhető információkkal.
Miután kizárólag a villanyautók voltak érintettek a szivárgásban, vélhetően olyan szoftveres funkciókkal kapcsolatos fejlesztésnél csúszott hiba a rendszerben, amik csak a tisztán elektromos meghajtású járműveket érintették. Az adatokat felhasználva egyszerűen össze lehetett kötni a kapcsolati infókat, neveket, telefonszámokat, e-mail címeket a felhasználók pontos lakhelyével a lokációs adatok alapján. Hiszen látszott ezekből, hogy hol álltak le és honnan indultak el rendszeresen a járművekkel.
A kiszivárgott helymeghatározási adatok esetenként rendkívüli nagy pontosságúak voltak. A Volkswagen és Seat modelleknél akár a 10 centimétert is elérhette a pontosság, míg az Audi és Skoda autók esetében csak kilométeres pontosságokról beszélhetünk. A 800 ezer érintett járműből hozzávetőlegesen 460 ezer modellhez köthetően tároltak nagy pontosságuk lokációs adatokat.
A Cariad azt közölte, hogy a problémát mostanra orvosolták, és igyekeztek némiképp jobb fényben feltüntetni a helyzetet azzal, hogy hozzátették: „olyan szenzitív információk, mint például a jelszavak vagy a fizetési adatok nem voltak hozzáférhetők, ezeket nem érinti az ügy”. Azt is megjegyezték az illetékesek, hogy a felhasználóknak nincs tennivalójuk, a beavatkozásuk nélkül tudják garantálni a továbbiakban a megfelelő biztonságot. A Volkswagen és a Cariad a sajtó megkereséseire nem árult el részleteket.
A járműgyűrtókat rendszeresen érik kritikák azért, mert indokolatlanul sok adatot gyűjtenek, és nem adnak eleget a kiberbiztonságra. Nem ez az első eset, hogy ilyen adatok bukkannak fel az interneten megfelelő védelem nélkül, és minden bizonnyal nem is az utolsó. Ez részben annak köszönhető, hogy a cégek villámgyorsan próbálnak sokéves lemaradást bepótolni a szoftverfejlesztések frontján. Korábban a Mozilla Foundation egy átfogó tanulmányt publikált arról, hogy 25 márkából 25 bukott meg az adatvédelmi vizsgálataikon. Egyszerűen rémálomnak titulálták a szakemberek az eredményeket.
