Dados de localização de 800.000 carros expostos online durante meses

Um vazamento de dados fez com que cerca de 800.000 veículos elétricos (EVs) Volkswagen (VW) tivessem sua localização exposta online durante vários meses, de acordo com um relatório da revista alemã Der Spiegel.

O incidente global impactou os proprietários de veículos elétricos da VW, Audi, Seat e Skoda, com a localização em tempo real dos veículos afetados, quer estivessem em casa, dirigindo na rua ou, nas palavras do Der Spiegel, estacionados “ na frente do bordel.”

A VW coleta dados – incluindo coordenadas GPS – depois que o proprietário do carro configura o aplicativo VW, que permite fazer coisas como pré-aquecer o carro, monitorar o nível de carga da bateria e verificar a autonomia restante. Isto cria um conjunto de dados que pode então ser usado para criar um perfil detalhado dos movimentos diários de alguém, disse Der Spiegel.

Isso já pode ser novidade para alguns proprietários, mas o elemento realmente alarmante desta história é que, devido a um erro, os dados estavam acessíveis ao público. Na verdade, vários terabytes de informação ligados a cerca de 800.000 VEs permaneceram expostos no sistema de armazenamento em nuvem da Amazon durante vários meses.

Antes de a vulnerabilidade ser eliminada, a Der Spiegel disse que foi capaz de reproduzi-la, alegando que “o acesso ao sistema não teria sido um desafio significativo para os serviços de inteligência, espionagem de concorrentes da VW, criminosos ou mesmo adolescentes entediados. Tudo estava aberto, bastava saber onde procurar.”

O site de notícias disse que muitos dos dados do veículo poderiam estar vinculados aos nomes e detalhes de contato dos proprietários e, em alguns casos, incluíam endereços de e-mail, endereços residenciais e números de telefone celular.

O erro teria ocorrido porque uma subsidiária da VW chamada Cariad, que criou uma plataforma de software para os EVs do grupo automobilístico, não percebeu um erro que entrou no sistema no verão passado. Na verdade, a violação só veio à tona depois que um denunciante alertou o Der Spiegel e também o Chaos Computer Club.

A reportagem lista uma série de cenários em que os dados – se caíssem em mãos erradas – poderiam ser utilizados para fins nefastos. Agentes de inteligência estrangeiros, por exemplo, poderiam rastrear políticos ou outros alvos, enquanto chantagistas poderiam perseguir indivíduos que visitassem lugares que prefeririam manter em segredo.

Questionado pela Der Spiegel sobre a recolha de informações dos condutores, Cariad disse que recolhe dados pseudonimizados sobre o comportamento e hábitos de carregamento dos clientes, utilizando-os para melhorar as baterias e o software associado.

Acrescentou que após a exposição dos dados, os clientes não são obrigados a tomar qualquer medida, insistindo que “nenhuma informação sensível, como palavras-passe ou detalhes de pagamento, será afetada”. Acrescentou que os proprietários podem escolher se utilizam produtos e serviços VW que requeiram o tratamento de dados pessoais, uma vez que todos os veículos com funções online oferecem opção de desativação.

A VW ainda não comentou publicamente o incidente. A Digital Trends entrou em contato com a montadora e atualizará este artigo quando recebermos resposta.

O incidente destaca o problema contínuo da coleta de dados pelas montadoras , que foi possível graças aos avanços na conectividade e na tecnologia de sensores em veículos modernos. “Os carros realmente parecem ter passado despercebidos pelo radar da privacidade”, disse o líder de pesquisa de um estudo sobre o assunto no ano passado .