800.000 elektrische Volkswagens zijn blootgesteld aan een datalek bij een dochteronderneming van de wagenfabrikant. In België zijn 38.000 wagens betrokken.
De Duitse autobouwer Volkswagen heeft via zijn dochteronderneming Cariad de gegevens van 800.000 elektrische wagens per ongeluk open laten staan. De gegevens waren afkomstig uit applicaties die bestuurders kunnen installeren om hun wagen via de smartphone te bedienen.
Het lek werd ontdekt door een anonieme klokkenluider die de krant Der Spiegel en de ethische hackersorganisatie Chaos Computer Club tipte over het datalek. Cariad dichtte het lek enkele uren nadat het zelf op de hoogte werd gebracht, maar de gegevens zouden wel maandenlang toegankelijk zijn geweest.
Het datalek omvat onder meer gegevens zoals de acculading van wagens en of de motor aan of uit stond, schrijft Der Spiegel. Die gegevens kunnen gelinkt worden aan namen van bestuurders, eigenaars en fleetmanagers. Bij geparkeerde auto’s was de GPS-locatie zichtbaar. De nauwkeurigheid van de locatie varieert sterk tussen de wagenmodellen, maar voor meer dan de helft van de wagens konden locatiegegevens zelfs tot op enkele centimeters nauwkeurig bepaald worden.
800.000 wagens
In totaal zouden 800.000 elektrische wagens van merken die onder de Volkswagen AG-groep vallen, betrokken zijn in het datalek. De meest voorkomende wagens zijn de ID.3 en ID.4 van Volkswagen zelf. Elektrische modellen van Seat, Audi en Skoda komen eveneens regelmatig voor.
Het grootste aandeel van getroffen voertuigen komt uit Duitsland (300.000), maar het lek heeft een internationale impact. 38.000 betrokken wagens komen uit België. Verder zijn ook tienduizenden wagens uit Nederland, Scandinavië, Frankrijk, het Verenigd Koninkrijk, Zwitserland en Oostenrijk niet gespaard gebleven.
Verkeerde configuratie
Cariad verklaart het lek als gevolg van een ‘verkeerde configuratie’ van zijn AWS-cloud, waardoor de cloupopslag publiekelijk toegankelijk was. Het onderzoek loopt nog, maar Cariad kan nu al met zekerheid zeggen dat er geen aanwijzingen zijn van misbruik door derden. Er is ook geen sprake van een inbraak in de systemen van de Volkswagen-dochter.
Het incident roept toch ernstige vragen op over hoe Volkswagen en andere autofabrikanten met data van wagens en bestuurders omgaan. Hedendaagse auto’s zijn geconnecteerde apparaten die interessante data opleveren,maar wagenfabrikanten zijn niet altijd mee met beveiligingsprincipes. Toyota liet toegang tot klantendata eens vijf jaar lang openstaan. Cariad benadrukt in een reactie aan de Duitse media dat het geen locatieprofielen samenstelt, maar uit ander onderzoek blijkt dat wagengegevens wel degelijk commercieel verhandeld worden zonder de toestemming van bestuurders te vragen.