Volkswagen, scoperta falla nel cloud, accessibili per mesi dati Gps di 800.000 auto elettriche, coinvolte anche Skoda, Seat e Audi
I dati provenivano dall’app Volkswagen, in 460.000 veicoli i sistemi di localizzazione erano così precisi da individuare la posizione con un’approssimazione di dieci centimetri.
Un’errata configurazione di un server cloud ha reso pubblicamente accessibili per mesi nel 2024 i dati di localizzazione di 800.000 auto elettriche del gruppo Volkswagen. Nella falla del sistema sono coinvolti anche migliaia di veicoli elettrici a marchio Seat, Audi e Skoda, appartenenti al Gruppo.
Secondo un’inchiesta di Der Spiegel, condotta insieme ai ricercatori del Chaos Computer Club (CCC), la falla ha esposto informazioni sensibili sugli spostamenti di persone comuni, politici, imprenditori e persino potenziali agenti dei servizi segreti.
Falla nei sistemi Cariad, 800.000 Gps Volkswagen accessibili a chiunque
Il problema è stato attribuito a un errore tecnico di Cariad, una controllata del gruppo Volkswagen responsabile della gestione delle app e dei dati di tracciamento dei veicoli. Tra i modelli coinvolti ci sono le vetture della serie ID di Volkswagen, così come auto a marchio Skoda, Seat e Audi. I dati provenivano dall’app Volkswagen, che registra la posizione GPS delle vetture ogni volta che vengono accese o spente. In particolare, per 460.000 veicoli, i sistemi di localizzazione erano così precisi da individuare la posizione con un’approssimazione di dieci centimetri.
La falla ha permesso di ricostruire con precisione le abitudini e le routine dei proprietari, come luoghi di parcheggio abituali presso sedi sensibili (ambasciate, caserme, centri di disintossicazione, ecc.). I ricercatori del CCC e i giornalisti di Der Spiegel hanno tracciato, con il consenso degli interessati, i movimenti di politici come Nadja Weippert (Verdi) e Markus Grübel (CDU). Ad esempio, i dati mostrano che l’auto di Grübel era spesso parcheggiata davanti a una casa di riposo e a una caserma dell’esercito, mentre quella di Weippert registrava spostamenti verso il parlamento di Oldenburg e il municipio di Tostedt.
Anche le 35 pattuglie Volkswagen elettriche della polizia di Amburgo erano coinvolte, sollevando interrogativi sulla sicurezza operativa. Un malintenzionato a conoscenza di questa falla nel cloud, infatti, avrebbe potuto ottenere informazioni su luoghi critici, come sedi dei servizi segreti o militari.
La risposta di Volkswagen
Il 26 novembre 2024, il CCC ha avvisato Cariad e Volkswagen, così come le autorità locali e federali. Cariad ha corretto la configurazione del server prima che l’incidente fosse reso pubblico. “Il CCC è stato in grado di trarre conclusioni sui dati di alcuni utenti solo aggirando diversi meccanismi di sicurezza, che hanno richiesto un alto livello di competenza e un notevole investimento di tempo”, ha dichiarato un portavoce di Volkswagen.
Linus Neumann, portavoce del CCC, ha definito l’incidente: “Un’enorme quantità di chiavi di casa lasciate incustodite sotto uno zerbino troppo piccolo”. Cariad ha rassicurato che, da una prima analisi, nessun dato sarebbe stato accessibile al di fuori dei ricercatori e dei giornalisti.
Questo episodio, che compromette la reputazione dei sistemi Volkswagen, si aggiunge alle difficoltà già affrontate dal principale produttore mondiale di auto. Poco prima di Natale, l’azienda ha evitato la chiusura di tre fabbriche in Germania a costo di un accordo che prevede il taglio di 35.000 posti di lavoro, evidenziando le sfide economiche e reputazionali per il brand tedesco.