Una significativa violazione dei dati che ha interessato oltre 800.000 auto elettriche del gruppo Volkswagen ha esposto informazioni sensibili degli utenti, tra cui dati relativi alla posizione e dettagli di contatto personali, rendendoli facilmente accessibili su internet.
L’incidente, rimasto inosservato per mesi, ha coinvolto informazioni GPS precise e dati personali dei proprietari di veicoli Volkswagen, Audi, Seat e Škoda. Questi dati erano memorizzati su un server Amazon Cloud configurato in modo inadeguato, rendendo possibile l’accesso a:
- Registri dettagliati sulla posizione, che indicavano con precisione dove e quando i veicoli venivano parcheggiati.
- Informazioni personali come nomi, indirizzi email e numeri di telefono.
- Dati sulle abitudini degli utenti, tra cui destinazioni lavorative, luoghi di svago e visite a località sensibili, come ospedali, uffici governativi e aziende private
In seguito alla scoperta, Cariad, la divisione software del gruppo Volkswagen, ha ammesso il problema. Il Chaos Computer Club (CCC) aveva segnalato il 26 novembre 2024 una configurazione errata su due applicazioni IT. L’azienda è intervenuta rapidamente per risolvere la vulnerabilità nello stesso giorno.
Secondo Cariad, i dati esposti non includevano informazioni altamente sensibili come password o dettagli di pagamento. Inoltre, nessun veicolo o servizio è stato compromesso. L’incidente ha riguardato esclusivamente dati pseudonimizzati relativi a veicoli connessi online. Cariad ha dichiarato che non vi è stata alcuna intrusione da parte di terze parti e ha prontamente notificato l’accaduto alle autorità competenti.
