Volkswagen śledził 800 tys. aut elektrycznych. Znał lokalizację co do centymetra

Całą sprawę nagłośnił Chaos Computer Club (CCC). Jest to niemiecka instytucja, która zajmuje się bezpieczeństwem w cyberprzestrzeni. To właśnie specjaliści z CCC odkryli, że Volkswagen zbiera potężne ilości danych dotyczących lokalizacji samochodów elektrycznych oraz przechowuje je w chmurze Amazona.

Po tym odkryciu skontaktowali się z Volkswagenem, dając niemieckiemu koncernowi miesiąc na załatanie dziur z zabezpieczeniach. Następnie poinformowali o sprawie "Der Spiegel", który opublikował na ten temat obszerny artykuł.

Wynika z niego, że niemiecki koncern zbierał dane geolokalizacyjne 800 tys. samochodów elektrycznych. 460 tys. samochodów marek Volkswagen i Seat lokalizowanych było z dokładnością do 10 centymetrów, natomiast Skody i Audi - już tylko z dokładnością do 10 kilometrów.

Poza danymi lokalizacyjnymi Volkswagen zbierał informacje o poziomie naładowania akumulatora, przeglądzie oraz sygnały o włączeniu i wyłączeniu silnika. Innymi słowy, mógł odtworzyć cały sposób eksploatacji auta. Dostawał informację o uruchomieniu samochodu, wraz z lokalizacją i czasem, a następnie o jego wyłączeniu - znów z lokalizacją i czasem.

Ponieważ monitorowanie odbywało się w sposób ciągły, można mówić o inwigilacji - koncern pozyskiwał wiedzę o tym, gdzie i kiedy przebywa właściciel samochodu. Monitorowanie dotyczyło nie tylko samochodów jeżdżących po Unii Europejskiej, ale na całym świecie.

Co gorsza, dane te, jak odkryło CCC, były przez wiele miesięcy publicznie dostępne. Zbiór kilku terabajtów danych znajdował się bowiem w chmurze Amazon. Błąd został popełniony przez inżynierów pracujących w spółce zależnej Volkswagena o nazwie Cariad, której zadaniem jest tworzenie oprogramowania dla całego niemieckiego koncernu.

Zdaniem specjalistów CCC dostęp do danych mógł zyskać każdy, kto ma podstawową wiedzę komputerową i skorzysta z kilku ogólnodostępnych programów.

Specjalistom z CCC udało się również powiązać dane dotyczące samochodów z danymi osobowymi ich właścicieli, czyli adresem e-mail, a czasem również adresami i numerami telefonów, chociaż to już był trudniejsze i wymagało większej wiedzy informatycznej.

Ilość pozyskanych danych zależała od tego, jakie informacje podał właściciel samochodu podczas rejestrowania swojego profilu użytkownika.

Dobra wiadomość jest taka, że zaalarmowany Cariad natychmiast podjął środki zaradcze i obecnie dane nie są już ogólnodostępne. Ale powstaje pytanie - po co w ogóle Volkswagenowi wiedza o tym, gdzie i kiedy znajdują się sprzedane przez niego samochody elektryczne?

Cariad wyjaśnił, że informacje te są anonimizowane i pozyskiwane na potrzeby badań nawyków kierowców dotyczących ładowania samochodów. Ta widza ma zostać wykorzystana do późniejszego udoskonalenia akumulatorów i sterującego nimi oprogramowania.

Spółka wyjaśniła, że według niej, do zasobów nie zyskał dostępu nikt poza specjalistami z CCC, a więc nie ma żadnego zagrożenia prywatności dla kierowców jeżdżących elektrycznymi samochodami Volkswagena. Zapewniła również, że osoby, które kupiły takie pojazdy, nie muszą podejmować żadnych kroków, bo w szczególności nie wyciekły dane dotyczące haseł czy numerów kart kredytowych. Cariad przypomniał także, że zgodę na przetwarzanie danych osobowych można w każdej chwili wycofać.

Wygląda więc na to, że przestępcy tym razem nie zyskali dostępu do danych o użytkownikach samochodów Volkswagena, co było jednak bardziej wynikiem szczęścia niż zabezpieczeń informatycznych.

Ten skandal rodzi jednak wiele pytań na temat granic między ochroną prywatności, a prawem producenta do zbierania danych. Niemiecki ADAC przypomniał, że już w 2016 roku zlecił zbadanie czterech różnych modeli samochodów pod kątem oceny, jakie dane są zbierane przez producentów. Już wtedy gromadzono informacje m.in. o danych GPS, godzinach użytkowania samochodów, pracy oświetlenia czy zapięciu pasów.

A przecież od tamtej pory informatyzacja poszła znacznie dalej. Dziś powszechne są aktualizacje pokładowych systemów OTA (over the air), a więc bezprzewodowo i bez wizyty w serwisie, za pomocą łącza internetowego. To oznacza, że komunikacja musi odbywać się obustronnie, a kierowca nie ma świadomości, jakie dokładnie informacje są pozyskiwane przez producentów i czy są dobrze zabezpieczane przed dostępem osób niepowołanych.

Również opublikowany w 2023 rokuraport fundacji Mozilla prowadził do wniosku, że producenci samochodów, właściwie niezależnie od marki, gromadzą gigantyczne ilości danych, które nie powinny im być do niczego potrzebne, a użytkownicy samochodów nie mają specjalnych możliwości ochrony swojej prywatności.

A konsekwencje ewentualnego wycieku mogą być bardzo poważne. Od rozbitych małżeństw, gdy wyjdą na jaw, np. systematyczne wizyty kierowcy w domach publicznych, po ataki terrorystyczne na osoby ważne z punktu widzenia bezpieczeństwa państwa. W dzisiejszych niebezpiecznych czasach warto byłoby uregulować te kwestie wręcz na poziomie unijnym.