Een datalek heeft maandenlang de locatiegegevens van ongeveer 800.000 elektrische voertuigen (EV’s) van Volkswagen (VW) blootgelegd, met gevolgen voor voertuigen van VW, Audi, Seat en Skoda, zoals gerapporteerd door De Spiegel.
Datalek onthult locatie van 800.000 Volkswagen EV’s
Het incident onthulde realtime GPS-locaties van getroffen voertuigen, waardoor waarnemers konden zien of auto’s thuis, op straat of op gevoeligere locaties geparkeerd stonden, aldus De Spiegel. Het lek is afkomstig van een VW-dochteronderneming, Cariad, die gegevens verzamelt om functies zoals het voorverwarmen van de auto en het monitoren van de accu via de VW-app mogelijk te maken.
Voordat de kwetsbaarheid werd gedicht, werden naar verluidt verschillende terabytes aan gegevens, gekoppeld aan ongeveer 800.000 elektrische voertuigen, blootgesteld op het cloudopslagsysteem van Amazon. De Spiegel verklaarde dat toegang tot deze onbeschermde gegevens geen grote uitdaging zou hebben gesteld voor inlichtingendiensten, concurrerende bedrijven, criminelen of zelfs ‘verveelde tieners’.
De potentiële implicaties van deze gegevensblootstelling zijn ernstig. Veel van de voertuiggegevens kunnen worden gekoppeld aan persoonlijke informatie zoals namen, e-mailadressen, huisadressen en telefoonnummers van autobezitters. Volgens het rapport bevatten nauwkeurige locatiegegevens van 460.000 voertuigen gedetailleerde informatie over de timing en locaties van hun parkeerplaatsen en activiteiten.
Apple verzamelt mogelijk standaard uw fotogegevens
Reactie van Volkswagen en betrokken personen
Na de onthulling verklaarde VW’s Cariad dat het alleen gepseudonimiseerde gegevens verzamelt om het laadgedrag en de software te verbeteren. Ze benadrukten dat “geen gevoelige informatie zoals wachtwoorden of betalingsgegevens worden beïnvloed”, en voegden eraan toe dat gebruikers onlinefuncties in hun voertuigen kunnen deactiveren.
De kwetsbaarheid werd bekend nadat een klokkenluider beiden op de hoogte bracht De Spiegel en de Chaos Computer Club (CCC), die vervolgens de omvang van de inbreuk onderzocht. Politicus Nadja Weippert was geschokt toen ze ontdekte dat de gegevens van haar auto niet-versleuteld waren opgeslagen, en benadrukte de noodzaak voor VW om de gegevensbeveiliging te verbeteren.
Markus Grübel, een andere politicus die getroffen is door het lek, omschreef de situatie als “irritant en gênant”, en stelde dat het vertrouwen in de IT-capaciteiten van de Duitse auto-industrie op het gebied van privacy en veiligheid ondermijnt.
De Spiegel schetste de mogelijkheid dat deze gegevens door buitenlandse inlichtingendiensten kunnen worden misbruikt om interessante personen op te sporen of voor gebruik bij chantage. Het suggereerde dat gegevens die wijzen op regelmatige bezoeken aan bepaalde locaties, zoals bordelen of ziekenhuizen, kwaadwillige plannen in de hand zouden kunnen werken.
Toen de CCC de kwetsbaarheid ontdekte, nam ze contact op met Cariad en VW Group, zodat er snel actie kon worden ondernomen om het probleem op te lossen. Het team prees de snelle reactie van Cariad op hun waarschuwing en sloot de kwetsbaarheid zodra deze werd gemeld.
De blootgestelde gegevens omvatten gedetailleerde voertuigbewegingen, waardoor een uitgebreid inzicht werd verkregen in de dagelijkse gewoonten van chauffeurs. Hierdoor kon worden bijgehouden wanneer een auto werd in- of uitgeschakeld en waar deze was geweest, wat voor veel eigenaren aanzienlijke privacyproblemen met zich meebracht.
Bredere gevolgen voor de privacy van autogegevens
Het datalek benadrukt de bredere problemen van de gegevensverzamelingspraktijken door autofabrikanten, waaronder het gedetailleerd volgen en profileren van voertuiggebruikers. Uit onderzoek blijkt dat moderne voertuigen vaak meer gegevens verzamelen dan nodig is. Uit een onderzoek van de Mozilla Foundation uit 2023 bleek dat 68% van de onderzochte merken eerder te maken had gehad met beveiligingsincidenten of datalekken.
Andere fabrikanten hebben ook te maken gehad met beveiligingsproblemen die verband houden met het verzamelen van gegevens. In januari 2023 heeft een groep hackers met succes toegang gekregen tot gebruikersaccounts bij BMW en Mercedes-Benz, terwijl een eerder incident, bekend als de ‘Jeep-hack’, kwetsbaarheden in voertuigcontrolesystemen aantoonde.
Het juridische landschap rond autogegevens is aan het verschuiven, met de nieuwe EU Gegevenswet Het is de bedoeling dat autobezitters vanaf september 2025 meer controle krijgen over hun voertuiggegevens.
Uitgelichte afbeeldingscredits: Erik Mclean/Unsplash
