En alvorlig datalækage hos Volkswagen-koncernen har afsløret detaljerede oplysninger om 800.000 biler, heraf 35.000 i Danmark.
Lækagen omfatter biler fra mærkerne Volkswagen, Audi, Skoda og Seat/Cupra og indeholder kritiske data som ejernes personlige oplysninger og præcise lokaliseringsdata. Sikkerhedshullet, der stammer fra datterselskabet Cariad, blev opdaget af en whistleblower og er nu lukket, men bilernes ejere er endnu ikke blevet underrettet.
Hvad blev lækket?
Ifølge Der Spiegel drejer det sig om flere terabyte data, der inkluderer bilernes stelnummer, model og produktionsår, batterioplysninger, samt ejernes e-mail og telefonnumre. Desuden indeholder lækagen detaljerede oplysninger om bilernes brugsmønstre, herunder nøjagtige tidspunkter og placeringer, hvor bilerne er blevet tændt og slukket.
De data, som Volkswagen har opsamlet, gør det muligt for uvedkommende at analysere kørevaner og rejsemønstre for bilernes ejere. Særligt Volkswagen-modellerne ID.3 og ID.4 er blandt de biler, hvor dataindsamlingen er mest omfattende. Disse opkoblede biler benytter smartphone-apps, der gør det muligt for ejere at fjernstyre visse funktioner. Men netop data fra disse apps er også blevet kompromitteret.
Også politiets biler ramt
Lækagen afslører, at sensitive oplysninger om 35 elektriske patruljevogne i Hamborgs politi og muligvis også politiets biler i Danmark er blevet eksponeret. Det vækker bekymring, da oplysninger fra biler, der potentielt bruges af efterretningstjenester, også indgår i lækagen.
For bilejere kan konsekvenserne være vidtrækkende. De lækkede data gør det muligt for uvedkommende at kortlægge personlige vaner, rejseruter og måske endda hjemadresser. Det kan skabe risiko for både privatlivskrænkelser og målrettede indbrud, hvor bilens placering og ejerens fravær kan udnyttes.
Desuden kan bilejernes personlige oplysninger såsom e-mail og telefonnumre blive udnyttet til phishing eller andre former for cyberkriminalitet. Det understreger vigtigheden af, at Volkswagen hurtigt får informeret berørte ejere og iværksat foranstaltninger til at beskytte deres data fremadrettet.
Volkswagen arbejder på at kontakte forhandlere i de berørte lande, men indtil videre har slutbrugerne ikke fået besked om, at deres data er lækket. Sagen sætter fokus på nødvendigheden af strammere kontrol med bilproducenters dataindsamling og -opbevaring.
Ikke første gang
Industrien for biler og cybersikkerhed har gentagne gange været rystet af alvorlige sikkerhedsbrud, der understreger de sårbarheder, der følger med digitaliseringen.
I januar 2023 viste hacker Sam Curry og hans team, hvordan de kunne få adgang til BMW-medarbejderes og forhandleres konti, hvilket gav dem mulighed for at se følsomme salgsmaterialer. Kort tid efter blev Mercedes-Benz’ interne chatsystem kompromitteret, og Kia-køretøjer blev afsløret som sårbare over for fjernoplukning og -start.
Et af de mest ikoniske eksempler er dog Jeep-hacket fra 2015, hvor to IT-specialister fjernstyrede en Jeeps elektroniske systemer via dens cellulære modul, hvilket gav dem kontrol over bremser, hastighed og radio. Denne hændelse resulterede i en omfattende tilbagekaldelse af 1,4 millioner køretøjer for at installere softwareopdateringer, der skulle forhindre lignende angreb.
