Kebocoran data besar-besaran yang melibatkan lebih dari 800.000 kendaraan listrik (EV) Volkswagen telah menyebabkan informasi sensitif pengguna, termasuk data lokasi dan detail kontak pribadi, tidak terlindungi di internet. Ditemukan oleh seorang pelapor dan dilaporkan oleh Der Spiegel, pelanggaran tersebut menyoroti kelemahan keamanan yang signifikan di anak perusahaan perangkat lunak VW, Cariad, sehingga memperlihatkan kerentanan dalam penanganan data kendaraan modern.
Lokasi GPS terbuka
Pelanggaran data, yang tidak diketahui oleh VW selama berbulan-bulan, melibatkan data GPS akurat dan informasi pribadi yang terkait dengan pemilik kendaraan VW, Audi, Seat, dan Škoda. Disimpan di server Amazon Cloud yang tidak terlindungi, kumpulan data ini memungkinkan siapa pun yang memiliki keterampilan teknis dasar untuk mengakses:
- Log lokasi terperinci menunjukkan dengan tepat di mana dan kapan mobil diparkir.
- Informasi pribadi pemilik, seperti nama, alamat email, dan nomor telepon.
- Wawasan tentang rutinitas pengguna, tempat kerja, tempat rekreasi, dan bahkan kunjungan sensitif, seperti kantor pemerintah, rumah sakit, dan perusahaan swasta.
Data yang terbuka ini menimbulkan risiko eksploitasi oleh penjahat, pelaku spionase, atau peretas, menurut Linus Neumann dari Chaos Computer Club (CCC), yang menyamakan situasi tersebut dengan meninggalkan “gantungan kunci besar di bawah keset tipis.”
Pelanggaran ini tidak hanya berdampak pada pengguna individu tetapi juga entitas institusi. laporan Der Spiegel menyoroti kasus-kasus berikut:
- Politisi Nadja Weippert, anggota Partai Hijau dan pendukung privasi, menemukan bahwa gerakannya dicatat dengan cermat dan dikaitkan dengan detail pribadi yang dapat diidentifikasi. Dia menggambarkan situasinya “mengejutkan.”
- Markus Grübel, anggota CDU Bundestag, menyatakan keprihatinan serupa, dan menyatakan bahwa acara tersebut merusak kepercayaan terhadap industri otomotif.
- Polisi Hamburg, dengan 35 kendaraan listrik di armadanya, termasuk di antara pihak yang terkena dampak.
Data dari beberapa negara, termasuk Jerman, Israel, dan Ukraina, dapat diakses. Dalam beberapa kasus, data GPS akurat dalam jarak 10 sentimeter.
Respon Cinta
Menanggapi pelanggaran tersebut, Cariad, bagian perangkat lunak Volkswagen, mengakui masalah tersebut, menyatakan bahwa Chaos Computer Club (CCC) telah menunjukkan kesalahan konfigurasi dalam dua aplikasi TI pada 26 November 2024. Perusahaan segera bertindak untuk menutup kerentanan tersebut. hari. Kesalahan konfigurasi, yang memungkinkan akses ke data kendaraan dengan nama samaran, sudah tidak ada lagi.
Cariad menekankan bahwa data yang terlibat bukanlah informasi pribadi sensitif seperti kata sandi atau rincian pembayaran, dan tidak ada kendaraan atau layanan yang terpengaruh. Hanya data kendaraan tertentu dari mobil yang terhubung online yang terpengaruh. Perusahaan juga memastikan tidak terjadi akses pihak ketiga yang tidak sah, dan mereka telah melaporkan kejadian tersebut ke otoritas terkait.
Cariad mengklarifikasi bahwa data, seperti perilaku dan kebiasaan pengisian daya, dianonimkan dan digunakan untuk meningkatkan fitur kendaraan di masa depan, seperti baterai dan perangkat lunak pengisian daya. Tidak ada profil pengguna pribadi yang dibuat, dan pelanggan memiliki opsi untuk menonaktifkan layanan online kapan saja.
VW meyakinkan pelanggan bahwa semua pemrosesan data dilakukan sesuai dengan persyaratan hukum dan persetujuan pelanggan, dengan menerapkan langkah-langkah privasi yang kuat, termasuk pemisahan data, nama samaran, dan batasan penggunaan data yang ketat.
Namun, kelemahan keamanan terbaru di Volkswagen ini menggarisbawahi pola kerentanan sistemik yang sedang berlangsung dalam infrastruktur TI dan praktik penanganan data perusahaan.
Kegagalan keamanan VW
Kekhawatiran serupa telah dikemukakan dalam laporan sebelumnya, termasuk kelemahan perangkat lunak dealer selama 20 tahun yang mengungkap data pelanggan, operasi spionase selama lima tahun oleh peretas Tiongkok yang menargetkan kekayaan intelektual VW, dan kerentanan kritis dalam sistem kendaraan yang memungkinkan gangguan mesin dan data dari jarak jauh. pencurian. Secara kolektif, insiden-insiden ini menyoroti kebutuhan mendesak bagi VW dan produsen mobil lainnya untuk memprioritaskan keamanan siber sebagai aspek dasar dari layanan digital dan terhubung mereka.
