Locatiedata van 800.000 Volkswagen-auto’s openbaar door lek
Niet alleen auto’s van Volkswagen zelf zijn getroffen door het datalek bij Cariad. Ook EV’s van Audi, Seat en Skoda zijn getroffen, meldt de Duitse krant Der Spiegel op basis van informatie van de hackersgroepering Chaos Computer Club. Deze groep informeerde Volkswagen over het datalek bij Cariad, dat verantwoordelijk is voor de software, zoals het infotainmentsysteem, in voertuigen van de Volkswagen Group. Via het datalek konden hackers locatiegegevens van auto’s inzien en deze koppelen aan klantgegevens, zoals namen en contactgegevens.
Onbeveiligde cloudomgeving
De Chaos Computer Club hoefde geen hackaanval uit te voeren om toegang te krijgen tot de locatiegegevens van de 800.000 Volkswagen-modellen. Deze gegevens waren namelijk opgeslagen in een onbeveiligde Amazon-cloudomgeving. Iedereen die op de hoogte was van deze cloudomgeving kon in principe de locatiegegevens inzien, aldus Der Spiegel. Naast locatiegegevens sloeg Cariad ook informatie op over het in- en uitschakelen van elektrische auto’s en klantgegevens zoals namen en e-mailadressen.
Voor elektrische modellen van Volkswagen en Seat is het datalek nog het meest zorgwekkend. Voor deze modellen sloeg Cariad locatiegegevens op met een nauwkeurigheid van 10 centimeter. Hierdoor konden aanvallers de bewegingen van bestuurders zeer nauwkeurig volgen. Dit trof ongeveer 460.000 bestuurders, waaronder ook twee politici. Bij Audi en Skoda lag deze nauwkeurigheid op 10 kilometer, wat het aanzienlijk moeilijker maakte om personen te volgen.
Desalniettemin is het zorgwekkend dat dergelijke locatiegegevens onbeveiligd waren opgeslagen. Zelfs met een nauwkeurigheid van 10 kilometer kan men de bewegingen van mensen volgen en die informatie misbruiken, bijvoorbeeld voor een aanslag. Omdat ook zichtbaar was wanneer een auto werd in- of uitgeschakeld, kon men mogelijk achterhalen waar iemand verbleef of onderweg naartoe was.
Is het datalek misbruikt?
Cariad heeft het datalek inmiddels opgelost, waardoor locatiegegevens weer veilig worden opgeslagen. Of hackers het lek daadwerkelijk hebben misbruikt, is niet bekend. De Amazon-cloudomgeving zou al enkele maanden onbeveiligd zijn geweest voordat de klokkenluider van de Chaos Computer Club alarm sloeg. Volgens de Volkswagen-dochter zijn in elk geval geen wachtwoorden of betaalgegevens uitgelekt.
In België vallen ongeveer 38.000 Volkswagen-auto’s, inclusief modellen van Audi, Seat en Skoda, onder het datalek. Bij onze noorderburen gaat het om 61.000 elektrische auto’s. In Duitsland – het thuisland van de Volkswagen Group – betreft het 300.000 auto’s.
De Volkswagen-dochter benadrukt dat klanten “in principe vrij zijn om te beslissen of ze producten en diensten gebruiken waarvoor de verwerking van persoonsgegevens nodig is. Alle voertuigen met onlinefuncties (zoals de Volkswagen ID-modellen, red.) bieden de mogelijkheid om deze op elk moment te deactiveren.”