Muun muassa Volkswageneja, Audeja, Seateja ja Skodia valmistavan VW-konsernin taustajärjestelmistä paljastui massiivinen turva-aukko. Sen kautta jopa 800 000 sähköauton omistajan arkaluonteisia tietoja on ollut saatavilla internetissä.
Carscoops-sivuston mukaan ongelman taustalla on huonosti suojattu ja väärin konfiguroitu pilvitallennusjärjestelmä Amazonin pilvessä. Tiedot olivat saatavilla kuukausien ajan, ennen kuin ongelma havaittiin ja korjattiin.
Tietojen vuotaminen koskee täysin sähköisiä Audi-, VW-, Seat- ja Skoda-malleja. Paljastuneet tiedot sisältävät muun muassa GPS-koordinaatteja, akun varaustason sekä tietoja auton käyttötilasta. Näiden tietojen avulla olisi ollut mahdollista seurata ajoneuvon liikkeitä ja muodostaa yksityiskohtainen kuva omistajien päivittäisistä tavoista.
Tapauksen vakavuutta lisää se, että 466 000 tapauksessa sijaintitiedot olivat niin tarkkoja, että niiden avulla olisi voitu luoda omistajaprofiileja. Osaava hakkeri olisi voinut yhdistää tietoja VW-konsernin verkkopalvelujen kautta saataviin henkilötietoihin ja jalostaa profiileja entisestään.
Turva-aukon taustalla on VW-konsernin ohjelmistoyhtiö Cariadin tekemä virhe kesällä 2024. Ongelman löytänyt raportoi löydöksistään Euroopan suurimmalle hakkeriyhteisölle Chaos Computer Clubille (CCC), joka otti nopeasti yhteyttä Ala-Saksin tietosuojavaltuutettuun, Saksan sisäministeriöön ja muihin turvallisuusviranomaisiin.
Lisäksi VW-konsernille annettiin 30 päivää aikaa korjata tilanne ennen julkistamista. Cariadin tekninen tiimi esti luvattoman pääsyn tietoihin, ja yritys vakuutti, ettei esimerkiksi salasanoja tai maksutietoja ollut vaarantunut.
Tietovuodot eivät ole uusi ilmiö autoalalla. Viime vuonna Toyota myönsi vastaavanlaisen vuodon, joka koski 2,15 miljoonaa auton omistajaa Japanissa. Lisäksi monet valmistajat ovat joutuneet arvostelun kohteeksi myydessään tietoja kuljettajista kolmansille osapuolille, kuten vakuutusyhtiöille.
Kuva Thaddaeus Lim Unsplash
