Un fallo de seguridad dejó desprotegidos los datos de 800 mil propietarios de vehículos eléctricos de Volkswagen

Según un reporte publicado recientemente en medios alemanes, Cariad, la filial del Grupo Volkswagen dedicada al desarrollo del software de sus vehículos, pasó por alto durante meses un fallo de seguridad que afectaba a los modelos eléctricos del grupo, dejando expuestos como consecuencia de ello los datos de ubicación de 800 mil vehículos en Europa.

La existencia de esta vulnerabilidad ha sido revelada por un grupo de hackers, los cuales aseguran que este fallo de seguridad no solo permitía acceder a la localización de todos estos vehículos, sino también a otros datos asociados de carácter personal como el nombre del propietario.

Este fallo de seguridad es especialmente grave, ya que estos hackers fueron incluso capaces de determinar con precisión la ubicación de dos políticos alemanes. Un miembro del Comité de Defensa alemán fue localizado en la casa de su padre y en los cuarteles militares del país, mientras que la alcaldesa de una ciudad alemana que no ha sido revelada fue seguida desde el ayuntamiento hasta su fisioterapeuta. La información afectaba a vehículos de las marcas Volkswagen, Audi, SEAT y Skoda, con datos particularmente detallados sobre los propietarios de los modelos ID.3 e ID.4 de Volkswagen.

Una vulnerabildad que pone de relieve la importancia de contar con un software robusto en los vehículos de hoy en día

El reporte publicado detalla que este fallo de seguridad permitía acceder públicamente a varios terabytes de datos almacenados en servidores de AWS, la plataforma de servicios en la nube de Amazon. Entre estos datos, había información de la ubicación precisa de centenares de miles de vehículos, lo cual permitía deducir aspectos de la vida privada de sus dueños. Esta vulnerabilidad permitió además a estos hackers realizar seguimiento de 35 vehículos eléctricos de la policía de Hamburgo, y dejó expuestos datos de políticos, líderes empresariales, empleados de los servicios de inteligencia e incluso conductores que se dirigían a la Base Aérea de Ramstein de la Fuerza Aérea de Estados Unidos.

Fue este mismo grupo de hackers, conocido como Chaos Computer Club (CCC), el que notificó a Cariad la existencia de esta vulnerabilidad, la cual fue rápidamente corregida por lo que ya no supone ningún peligro. Cariad, por su parte, ha comunicado a los medios alemanes que se hicieron eco de esta noticia que el problema se debió a una mala configuración y que la compañía no combina datos que permitan crear perfiles individuales. Según explican desde Cariad, este grupo de hackers tuvo que agrupar distintos conjuntos de datos eludiendo varios mecanismos de seguridad para poder acceder a toda esta información. En cualquier caso, parece evidente que si sus intenciones no hubiesen sido buenas, el daño que hubiesen podido hacer es tremendo.

Por último, es importante señalar que a día de hoy, no se tiene constancia de que nadie más que este grupo de hackers haya accedido a toda la información expuesta por esta vulnerabilidad.