Importante filtración de datos en los coches eléctricos de Volkswagen

Según un informe de los medios de comunicación, se ha producido una importante filtración de datos en la filial de software de VW, Cariad. Los datos de localización de unos 800.000 coches eléctricos de varias marcas de Volkswagen y la información sobre sus propietarios estuvieron en gran medida desprotegidos y accesibles en Internet durante meses.

Así lo informó Der Spiegel tras una investigación conjunta con el Chaos Computer Club (CCC), un grupo europeo de hackers. Según el informe, varios terabytes de datos estaban "en gran parte desprotegidos" y almacenados en una instalación de almacenamiento en la nube perteneciente a AWS, filial de Amazon. Incluso se podían ver datos precisos sobre la ubicación de unos 460.000 vehículos, mientras que muchos otros datos de vehículos podían vincularse a nombres y datos de contacto, por ejemplo, del conductor, el propietario o el gestor de la flota.

Tras el chivatazo de un denunciante, un Spiegel equipo pudo identificar la vulnerabilidad. Mediante algunos rodeos y "conjeturas sistemáticas", el equipo consiguió acceder a una copia del último registro de memoria de una aplicación interna de Cariad. Allí, los informáticos encontraron los datos de acceso al mencionado almacenamiento en la nube. Allí se almacenaban los datos de cada uno de los vehículos, incluido el nivel de carga de la batería transmitido, el estado de la inspección y si la unidad está encendida o apagada.

Cuando se apagaba, se transmitía la posición del coche y la hora. Con 300.000 vehículos, Alemania es el país más afectado, seguido de Noruega (80.000 vehículos), Suecia (68.000) y el Reino Unido (63.000), otros países europeos con una penetración bastante elevada de coches eléctricos.

Como los datos de acceso al servicio propio de VW también se almacenaban en otro lugar, la información de los datos del vehículo podía vincularse a los usuarios registrados. Esto permitió Der Spiegel para analizar con precisión los perfiles de movimiento de dos políticos regionales (con su permiso) y asignar datos de vehículos a otros políticos, líderes empresariales o a la policía de Hamburgo con sus cerca de 35 coches patrulla eléctricos, por citar sólo algunos ejemplos. En el caso de los VW ID.3 e ID:4, los datos eran aparentemente especialmente detallados; en algunos casos, la localización se almacenaba con una precisión de diez centímetros. En cambio, los modelos MEB de Audi y Seat afectados, es decir, el Q4 e-tron y el Cupra Born, sólo tenían una precisión de diez kilómetros, lo que haría mucho menos significativo un perfil de movimiento.

La CCC había enviado con antelación a Cariad el correspondiente aviso y los detalles técnicos, dando a la empresa 30 días para proteger los datos antes de su publicación. Cariad respondió "en pocas horas", la brecha se ha cerrado y los datos ya no son accesibles. Sin embargo, en lugar de una vulnerabilidad de seguridad, la empresa prefiere hablar de un "error de configuración". Aparte del CCC, nadie había accedido a los sistemas, y no había "indicios de uso indebido de los datos por parte de terceros". Cariad recopila los datos para analizar el comportamiento de carga de los clientes, por ejemplo, para poder mejorar las baterías y el software.

spiegel.de (en alemán), ccc.de (Vídeo del CCC para descargar en alemán, inglés y francés), theverge.com