Nuova grana per Volkswagen. Secondo il Chaos Computer Club (CCC), noto gruppo tedesco di hacker, svela in un reportage di Spiegel, come il Gruppo Volkswagen raccolga sistematicamente dati sui movimenti di centinaia di migliaia di auto elettriche dei marchi VW, Audi, Skoda e Seat, archiviandoli per lunghi periodi. Dati che, inclusi quelli relativi ai proprietari dei veicoli, erano accessibili su internet senza alcuna protezione.
Volkswagen ottiene informazioni sulla vita provata quotidiana, ed in particolare sugli eventi straordinari, di centinaia di migliaia di proprietari di veicoli grazie ai dati sui movimenti. Secondo il CCC, sono stati raccolti anche dati sensibili relativi ad attività di intelligence e militari: tra l’altro, sono stati trovati registri provenienti dal parcheggio del Servizio di Intelligence Federale (BND) e dalla base aerea militare della United States Air Force a Ramstein.
Le informazioni sono raccolte dalla controllata Cariad di Volkswagen, ed includono dettagli precisi sulla posizione e sull’orario dello spegnimento del motore. I dati sui movimenti sono collegati ad altri dati personali, permettendo di trarre conclusioni su fornitori, prestatori di servizi, dipendenti o organizzazioni di copertura delle autorità di sicurezza. Dal canto suo, Cariad ha ammesso il problema, dovuto a quanto pare ad una cattiva configurazione di due applicazioni, che però non spiega fino in fondo la facilità con la quale i dati potevano essere trovati in rete.
Linus Neumann, portavoce del Chaos Computer Club, ha dichiarato:
Il problema è che questi dati vengono raccolti e archiviati per un periodo lungo. Il fatto che fossero anche scarsamente protetti non ha fatto che peggiorare la situazione.
I risultati sono stati presentati venerdì scorso al 38º Chaos Communication Congress (38C3) ad Amburgo. La conferenza è disponibile su http://media.ccc.de.
Perché si tratta di una situazione estremamente rischiosa per i proprietari di auto?
Secondo le indagini di SPIEGEL, la questione coinvolge politici, dirigenti d’azienda, la polizia di Amburgo con circa 35 auto elettriche di pattuglia, e sospetti agenti dell’intelligence. La maggior parte di queste persone potrebbe non essere consapevole di quanto siano vulnerabili alla raccolta di dati nei loro veicoli.
Per circa la metà degli interessati, inclusi i proprietari dei modelli VW ID.3 e ID.4, i dati raccolti risultano particolarmente dettagliati. Come accennato è possibile individuare quando i veicoli sono stati accesi e spenti, oltre ai luoghi e agli orari precisi. Gran parte delle informazioni risale al 2024, ma alcuni dati coprono un periodo ancora più ampio.
Per i modelli come la VW ID.3, i dati raccolti sono estremamente precisi, con una tolleranza di pochi centimetri. Sempre secondo Linus Neumann, “questa vulnerabilità è stata aggravata da un’enorme negligenza nella gestione dei dati, come l’uso di chiavi di sicurezza poco protette“.
Criminali o spie potrebbero utilizzare questi dati per tracciare profili dettagliati dei movimenti delle persone coinvolte. Informazioni di questo tipo potrebbero interessare agenzie di intelligence straniere, ad esempio per identificare chi parcheggia regolarmente presso edifici governativi o basi militari come quella dell’aeronautica statunitense a Ramstein.
Gli scenari ipotizzabili non si limitano al mondo dello spionaggio. Truffatori potrebbero sfruttare queste informazioni per inviare e-mail di phishing credibili, impersonando Volkswagen, fornitori o filiali, al fine di rubare dati sensibili come informazioni bancarie o di pagamento.
Anche stalker o ex partner gelosi potrebbero trarre vantaggio da questi dati, identificando con precisione i movimenti delle loro vittime. Inoltre, poiché i movimenti di veicoli in paesi come Ucraina e Israele risultano tracciabili, tali informazioni potrebbero avere implicazioni militari, specialmente qualora fosse possibile identificare chi si trovava al volante.
