Dados de cerca de 800.000 proprietários de automóveis elétricos do Grupo Volkswagen ficaram acessíveis a “hackers” durante alguns meses, com a quantidade de informação disponível a permitir até traçar padrões de localização precisos dos condutores, de acordo com informações vindas a público pelo Der Spiegel e pela maior associação de “hackers” da Europa.
A proteção dos dados informáticos reveste-se de cada vez maior importância no contexto atual de conectividade, com os construtores a terem de cumprir legislação cada vez mais estrita. No entanto, o jornal alemão Der Spiegel adianta que o Grupo Volkswagen deixou os dados de mais de 800.000 proprietários de automóveis das suas marcas – incluindo Volkswagen, Audi, Skoda ou SEAT – a “descoberto”.
Dados dos clientes estavam armazenadas numa base de dados com proteção reduzida
A informação daquele jornal revela que os dados dos clientes estavam armazenadas numa base de dados com proteção reduzida em “nuvem” (pertencente à Amazon), permitindo que piratas informáticos, vulgo “hackers”, conseguissem aceder a esses dados com relativa facilidade.
De acordo com aquele órgão de comunicação alemão, que recebeu uma dica de um informador e que conseguiu confirmar a exposição dos dados online, algumas informações sensíveis faziam alusão à localização GPS dos condutores (com bastante precisão), níveis de bateria e até mesmo o estado de funcionamento dos veículos.
Ou seja, os piratas informáticos mais competentes poderiam até criar um perfil de hábitos dos condutores com recurso a estes dados, no caso de 466.000 dos 800.000 perfis de informação expostos.
Entre os clientes afetados estão políticos
O Der Spiegel avança ainda que entre os clientes afetados estão políticos, responsáveis dos serviços secretos e até a frota de veículos elétricos da polícia de Hamburgo. Com recurso a esses dados, o jornal conseguiu até localizar dois políticos alemães.
Cariad responsável
O problema com os dados terá sido originado pela Carid, a divisão de desenvolvimento de “software” do Grupo Volkswagen, no verão deste ano. Segundo o Der Spiegel, um denunciador (“whistleblower”, em inglês) alertou a publicação e a principal associação europeia de “hackers”, a Chaos Computer Club (CCC) no verão de 2024, apontando as falhas na proteção de dados em “nuvem”, por parte da Cariad.
A CCC, por sua vez, informou diversas divisões estatais e de segurança alemãs, incluindo o responsável da Proteção de Dados da Baixa Saxónia e o Ministério do Interior, além da própria Cariad e do Grupo Volkswagen, dando-lhes 30 dias para resolver o problema antes de tornarem pública a questão.
CCC faz alertas
Na sua página de Internet, o Chaos Computer Club (CCC) alerta para o facto de o Grupo Volkswagen “registar sistematicamente dados sobre os movimentos de centenas de milhares de veículos VW, Audi, Skoda e Seat e armazena-os durante longos períodos de tempo. Os dados, incluindo informações sobre os proprietários dos veículos, estavam também acessíveis sem proteção na Internet”.
Além disso, continua aquele organismo, “os dados relativos aos movimentos permitem à Volkswagen conhecer a vida privada quotidiana – e, em especial, a vida não quotidiana – de centenas de milhares de proprietários de veículos. (…) Foram também recolhidos dados sensíveis sobre os serviços secretos e as atividades militares: foram encontrados registos de dados do parque de estacionamento do Serviço Federal de Informações Alemão (BND) e da base aérea da Força Aérea dos Estados Unidos em Ramstein, entre outros”.
“O problema reside no facto de estes dados terem sido recolhidos e armazenados durante um período de tempo tão longo. O facto de terem sido mal protegidos é a cereja no topo do bolo”, afirma Linus Neumann, porta-voz do Chaos Computer Club.
O problema terá sido prontamente corrigido após contacto do CCC
O problema terá sido prontamente corrigido após contacto do CCC, tendo a Cariad afirmado ao jornal Der Spiegel que não houve a fuga de dados relevantes como “passwords” ou informações de pagamento, pelo que não houve impacto para a segurança desses dados para os clientes. Aquela divisão do Grupo Volkswagen clarificou ainda que se tratou de uma má configuração de segurança que não existe, na companhia, o cruzamento de dados que permita a um “hacker” criar um perfil de um condutor com base naqueles dados.
Ou seja, de acordo com a Cariad, os investigadores tiveram de violar diferentes mecanismos de segurança para combinar os dados de perfis e manifestaram a sua crença de que ninguém mais acedeu aos dados em questão, com exceção do CCC.
Commentaires