Nära 800 000 elbilar med inbyggd GPS drabbades av en allvarlig sårbarhet som gjorde att hackare kunde hitta känslig information om eller spåra deras position. Det gjorde att bland annat att bilen till en tysk politiker kunde spåras av hackare via den officiella Volkswagen-appen.
68 000 drabbade svenskar
Enligt uppgift till Spiegel ska sårbarheten ha gjorde att positionsdata på Amazons servrar varit åtkomlig för obehöriga i flera månader. Först när visselblåsare informerade Spiegel och den etiska hackergruppen Chaos Computer Club (CCC) vidtogs åtgärder.
Av de 800 000 bilarna som kunde spåras med hjälp av GPS-data befinner sig 68 000 i Sverige.
En person som drabbades är den tyska politikern Nadja Weipperts. Hon gav hackarna tillåtelse att försöka spåra hennes bil, en VW ID.3, och de lyckades positionera henne via den officiella Volkswagen-appen.
I ett uttalande till Spiegel säger hon att ”Jag är chockad. Det kan inte vara så att min data lagras okrypterad i Amazons moln och inte skyddas tillräckligt. Jag förväntar mig att VW stoppar detta och att de anonymiserar data de samlar in”.
Nadjas bil fanns med i en stor databas på flera terabyte med åtkomlig information.
Volkswagen försöker tona ner allvaret kring sårbarheten
Volkswagen försöker tona ner allvaret och säger till Aftonbladet att sårbarheten är fixad. I ett uttalande påstår biltillverkaren att det handlar om en ”mycket komplex process” och att det bara gick att komma åt ”pseudonymiserade fordonsdata”. Tillverkaren säger också att det krävs en hög nivå av expertis och en betydande mängd tid för att kringgå flera säkerhetsmekanismer.
Utan att visa några belägg för sina påståenden om komplexiteten är det svårt att veta om Volkswagen faktiskt talar sanning om hur svårt det var att komma åt informationen.
Under 2015 avslöjades vad som skulle komma att kallas ”dieselgate” där tillverkaren beskyldes för att uppge mycket lägre utsläppsnivåer av kväveoxid än vad bilarna faktiskt släppte ifrån sig. Hela 40 gånger mer kväveoxid släpptes ut, vilket kunde döljas med hjälp av manipulerade utsläppstester och fuskmjukvara i bilarna.
Det är alltså svårt att lita på vad tillverkaren säger innan vi har bekräftelser från oberoende parter som kan granska sårbarheten och problematiken kring GPS-positioneringen.