“Sappiamo dov’è la tua macchina”. Si intitola così l’articolo del noto giornale tedesco Der Spiegel che, venerdì 27 dicembre, ha condiviso quella che risulta essere una grave violazione dei dati dei proprietari di alcuni auto elettriche del Gruppo Volkswagen, dati che sono rimasti pubblici per mesi e accessibili senza particolari difficoltà.

C’entra Cariad, la divisione software dell’azienda, che l’estate scorsa ha commesso un errore nella configurazione del servizio cloud di Amazon dove quei dati venivano memorizzati, in chiaro, quindi potenzialmente accessibili a tutti.

I dati esposti nella fuga di dati dei veicoli elettrici di Volkswagen

Si tratta di una grossa fuga di dati perché avrebbe coinvolto più di 800mila veicoli elettrici del Gruppo Volkswagen, comprese Audi, Seat e Skoda, sia in Europa che in altre parti del mondo. Der Spiegel ha scritto che sono rimasti accessibili per mesi nello spazio di archiviazione cloud di Amazon vari terabyte di dati dei loro proprietari, di cui è stato possibile risalire a varie cose.

Accedendo a quei dati, era possibile vedere i dettagli sulla posizione di 460mila veicoli e conoscere le abitudini di chi li utilizzava, le informazioni sulle attività dei motori (acceso e spento, per i modelli Volkswagen ID.3 e ID.4), comprese le posizioni precise in cui venivano parcheggiate, con una precisione massima di dieci centimetri i modelli Volkswagen e Seat, di dieci chilometri le Audi e Skoda, quindi una questione molto meno problematica. Sono tante informazioni utili per i malintenzionati, a cui si aggiungono anche i dati sui nomi, gli indirizzi e-mail e i numeri di telefono.

La parlamentare tedesca Nadja Weippert, proprietaria di una Volkswagen ID.3 e utente dell’app Volkswagen che usava per controllare l’autonomia residua e preriscaldare l’auto, ha infatti segnalato il tracciamento dei suoi spostamenti denunciando di conseguenza l’accaduto con durezza: “Sono scioccata. Non può essere che i miei dati siano archiviati non crittografati nel cloud di Amazon e quindi non siano nemmeno adeguatamente protetti. Mi aspetto che Volkswagen interrompa tutto questo, raccolga meno dati in generale e li anonimizzi definitivamente”.

Sono state coinvolte anche 35 auto elettriche della polizia di Amburgo, ma la situazione è simile anche per altri imprenditori e politici, fra cui Markus Grübel, membro del Bundestag della CDU (Christian Democratic Union), che dopo aver lasciato esaminare i dati relativi alla sua auto coinvolta nella fuga di dati in questione, ha detto: “soprattutto in vista della guida autonoma e dei possibili attacchi di hacking manipolativi contro di essa, la competenza informatica dei produttori deve ovviamente ancora aumentare in modo significativo”.

Cariad, non ha minimizzato la questione ma ha confermato subito il problema e ringraziato il Chaos Computer Club (CCC), l’organizzazione di hacker tedesca che ha scoperto la vulnerabilità concedendo 30 giorni all’azienda parte del Gruppo Volkswagen per rendere quei dati inaccessibili ai soggetti non autorizzati prima della pubblicazione sui media.

Ma perché vengono raccolti questi dati? Cariad ha risposto allo Spiegel spiegando che quelli sul comportamento e sulle abitudini vengono usati per migliorare la resa della batteria e il software dei veicoli, dati che verrebbero comunque pseudonimizzati e mai riuniti in modo tale da poter profilare le persone e comprenderne le abitudini.

Un errore grave da parte di Volkswagen e della divisione Cariad, che nonostante abbia lasciato in chiaro un gran numero di dati per alcuni mesi, sembra non avere portato a particolari conseguenze al momento. Resta tuttavia l’imbarazzo di un Gruppo così importante che, nonostante la questione della sicurezza dei dati sia ad oggi particolarmente centrale, ha commesso un errore, non se ne è accorta, e ha messo a rischio la privacy di molte persone, in un’epoca in cui la sicurezza informatica è diventata una priorità anche nel settore automobilistico.

Nell’immagine di copertina gli interni di Volkswagen ID.7