Los datos de contacto y los de movimento de 800.000 vehículos eléctricos de Volkswagen Group están desprotegidos

Volkswagen Group registra datos de contacto y movimiento con CARIAD de 800.000 vehículos eléctricos, esos datos están desprotegidos

El Chaos Computer Club (CCC) revela que el Grupo Volkswagen registra sistemáticamente datos de movimiento de cientos de miles de vehículos VW, Audi, Skoda y Seat y los almacena durante largos períodos de tiempo. Los datos, incluida la información sobre los propietarios de vehículos, también estaban disponibles sin protección en Internet.

A través de los datos de movimiento, Volkswagen obtiene información sobre la vida privada cotidiana, y especialmente no cotidiana, de cientos de miles de propietarios de vehículos.

Después de configurar la aplicación, el automóvil aparentemente comienza a recopilar y transmitir datos al fabricante, incluidos datos GPS precisos de su ubicación de estacionamiento cada vez que apagaba el motor. Se creó un conjunto de datos a partir del cual se puede crear fácilmente un perfil de movimiento detallado de su vida cotidiana.

Un volumen de varios terabytes de datos sobre alrededor de 800.000 durante meses en el almacenamiento en la nube de Amazon coches eléctricos estuvo en gran medida desprotegido y accesible . Se ven afectados VW, Seat, Audi y Skoda Los vehículos en Alemania, Europa y otras partes del mundo . Y muchos de sus dueños. Porque muchos de los datos del vehículo pueden vincularse a los nombres y datos de contacto de los conductores, propietarios o gestores de flotas. Se pudieron consultar datos precisos de la ubicación de 460.000 vehículos, lo que permitió sacar conclusiones sobre la vida de las personas al volante

No sólo se ven afectados los particulares, sino también la dirección de flotas, los miembros de los consejos de administración y de supervisión de las empresas DAX, así como diversas autoridades policiales en Europa. Por ejemplo, los datos de movimiento de 35 patrulleros eléctricos de la policía de Hamburgo se registraron y almacenaron en la plataforma VW para que terceros los pudieran ver.

También se registraron datos confidenciales sobre actividades de inteligencia y militares: entre otros, se encontraron conjuntos de datos del estacionamiento del Servicio Federal de Inteligencia (BND) y del aeródromo militar de la Fuerza Aérea de los Estados Unidos en Ramstein.

La información recopilada por Cariad, filial de VW, incluye información precisa sobre el lugar y la hora en que se apagó el encendido. Los datos de movimiento están vinculados a otros datos personales. Esto también permite sacar conclusiones sobre proveedores, prestadores de servicios, empleados u organizaciones fachada de las autoridades de seguridad.

"El problema es que estos datos se recopilan y se almacenan durante un período de tiempo tan largo. El hecho de que estuvieran mal protegidos no hace más que agravar el daño". dijo Linus Neumann, portavoz del Chaos Computer Club.

Y todo porque la filial de VW, Cariad, que en su día se creó para desarrollar una plataforma prometedora para todos los vehículos eléctricos del grupo con miles de desarrolladores de software, cometió un error el verano pasado y ni siquiera se dio cuenta.

Valioso para estafadores y chantajistas

Según la investigación de SPIEGEL se ven afectados otros políticos, empresarios, la policía de Hamburgo con sus alrededor de 35 coches patrulla eléctricos y presuntos empleados de los servicios de inteligencia . Muy pocos de ellos se habrían dado cuenta de lo vidriosos que están en sus vehículos.

Para aproximadamente la mitad de los afectados, incluidos los propietarios de los modelos VW ID.3 e ID.4, los datos son especialmente detallados. Muestran cuándo se encendió el vehículo respectivo y cuándo y dónde exactamente se apagó. La mayoría de los datos provienen de 2024, algunos se remontan a más atrás.

Los delincuentes o espías podrían obtener perfiles de movimiento detallados a partir de estos datos. Para los servicios secretos extranjeros podría ser interesante saber quién es el coche que cada día entre las 8.00 y las 17.00 horas está aparcado en las proximidades de los edificios del Servicio Federal de Inteligencia o conducido a la base aérea militar de la Fuerza Aérea de los EE.UU. en Ramstein : así lo revelan los datos de Cariad.

Los estafadores podrían haber utilizado los datos para generar correos electrónicos de phishing creíbles en los que, por ejemplo, se hacían pasar por Volkswagen, un proveedor o una filial para solicitar una tarjeta de crédito u otra información de pago

Un equipo de SPIEGEL formado por expertos en TI y periodistas pudo comprender de antemano la vulnerabilidad. El acceso no habría supuesto un desafío importante para los servicios de inteligencia, para espiar a los competidores de VW, a los delincuentes o incluso a los adolescentes aburridos.

Todo estaba ahí, sólo había que saber dónde buscar. No fueron necesarios más que unos pocos programas informáticos disponibles gratuitamente , que son herramientas estándar para piratas informáticos y expertos en seguridad informática.

En pocas palabras, hicieron posible encontrar sitios web específicos de Cariad y sus subpáginas mediante conjeturas sistemáticas, incluso si son parcialmente invisibles para los usuarios normales. Esto hacía visibles caminos que conducían directamente a archivos cuyos finales indicaban que podían tener contenido explosivo. Una de estas rutas conducía a una copia del volcado de memoria actual de una aplicación interna de Cariad. Un archivo de este tipo no debería estar en Internet abierto, o al menos no sin protección con contraseña. Los programas y procesos de seguridad modernos deberían reconocer tal falla. Como este no era el caso con Cariad, los atacantes podrían simplemente descargar el volcado de memoria y abrirlo. En el interior se encontraban -fácilmente de encontrar- los datos de acceso al almacenamiento en la nube de Amazon.