Door een lek bij CARIAD, onderdeel van de Volkswagen Group, is de data van 800.000 elektrische voertuigen op straat beland. De precieze geolocatie van bestuurders was in veel gevallen te traceren.

Het lek ontstond door een misconfiguratie in twee IT-applicaties van CARIAD. Op 26 november werd de softwaremaker ingelicht door ethische hackers van de Chaos Computer Club (CCC) over de blootgestelde informatie. Deze groep zou via een klokkenluider op de hoogte zijn gekomen van het levensgrote datalek.

Precieze GPS

Alleen bestuurders die hun auto’s met het internet verbonden en zich voor online diensten hadden aangemeld, zijn blootgesteld aan het lek. Het betekende dat er van de 800.000 EV’s 460.000 auto’s de precieze geolocatie uit te lezen was met een accuratesse van 10 centimeter. Der Spiegel berichtte dat meer dan 30 politiewagens uit Hamburg op deze manier te volgen waren. De krant wist met hulp van IT-experts ook de auto’s van twee Duitse politici op te sporen.

De anonimisering van CARIAD bleek dus onvoldoende. Een memory dump van een door CARIAD gebruikte applicatie bevatte keys voor een cloud storage instance op AWS waarin de gegevens van Volkswagen-klanten te vinden waren. Zelfs als een auto uit stond, was de geolocatie te zien. Van de 800.000 auto’s vonden de ethische hackers informatie van 61.000 Nederlandse elektrische auto’s, 68.000 in België en 300.000 in Duitsland.

Volgens CARIAD reageerde het binnen een dag op de melding van CCC. Laatstgenoemde onderstreept dit door te zeggen dat het technische team van CARIAD “snel, grondig en verantwoord” te werk gingen nadat ze waren geïnformeerd. Kortom: gezien de problematische situatie is het lek snel gedicht. En gelukkig lijkt het erop dat de informatie enkel door goedwillende hackers is opgespoord. Desondanks valt niet uit te sluiten dat een andere partij ongezien dezelfde kennis verworf, hoewel daar geen bewijs voor is.

De belofte van ‘connected cars’ tegenover dataverzameling

We hebben al eerder de conclusie getrokken dat moderne auto’s een privacy-nachtmerrie zijn. Eind 2023 liet Mozilla-onderzoek zien hoe diepgravend de kennis van automakers over hun bestuurders was. 84 procent van de autofabrikanten verkoopt de data die ze (weliswaar geanonimiseerd) verzamelen. Bovendien zijn de privacyverklaringen van veel merken bijzonder ruim opgesteld, zoals die van Nissan in de VS, waarbij seksuele activiteit, gezondheidsdiagnoses en genetische informatie vrij spel zouden zijn voor gerichte marketing. Hoe een automaker dergelijke kennis verwerft over een gebruiker, mag Joost weten. Toch laat het een industrie zien die allesbehalve privacygezind is.

“Zonder deze data, kunnen slimme, digitale en gepersonaliseerde functies niet geleverd, geoptimaliseerd of uitgebreid worden”, luidt de uitleg van CARIAD over de gegevensverzameling. Daarbovenop stelt de softwarebouwer dat Volkswagen Group de data op juridisch gegronde wijze binnenhaalt en bewaart.

Het is niet de eerste keer dat een Volkswagen-onderdeel een groot lek ondervindt. Zo kregen 3,3 miljoen Audi-klanten en -geïnteresseerden te maken met een datalek in 2021. Het overgrote merendeel van de getroffen individuen bevond zich in de VS, terwijl er tevens 163.000 Canadezen waren blootgesteld aan het lek.

Echter ging het bij dat lek om data die ook in potentie te stelen is van verzekeraars, makelaars of juridische kantoren. Het verschil met het CARIAD-lek is dat de informatie deze keer juist inspeelt op de accurate sensoren van auto’s, en bij langdurig tracken ernstige gevolgen had kunnen hebben voor individuele bestuurders of veiligheidsdiensten. Het is maar de vraag of gebruikers erkennen dat de ‘slimme, digitale en gepersonaliseerde functies’ binnen de Volkswagen-app een dergelijk risico waard zijn. Het op afstand aanzetten van een oplaadmodus, navigeerhulp en anti-diefstalopties klinken als nuttige toevoegingen, hoewel de benodigde data daarvoor beperkt is.

Lees ook: Wat kunnen bedrijven in 2025 verwachten op het gebied van cybersecurity?