É como deixar um chaveiro enorme debaixo de um capacho muito pequeno
Com essas palavras, Linus Neumann, porta-voz do Chaos Computer Club e colaborador do Bundestag alemão como especialista em segurança cibernética, tentou explicar o que representou a enorme filtragem de dados pessoais de cerca de 800.000 veículos elétricos da Volkswagen.
Um buraco de 800.000 veículos
A informação foi publicada pelo Chaos Computer Club (CCC) e pelo jornal alemão Spiegel. Em ambos os casos, uma pessoa anônima entrou em contato com eles para alertá-los de que o software da Volkswagen, assinado pela Cariad, apresentava uma vulnerabilidade que expôs os dados pessoais de mais de 800.000 veículos.
Concretamente, os dados filtrados expuseram o posicionamento GPS dos motoristas, o que permitiu rastrear facilmente os movimentos de todos e cada um dos carros. O problema, afirmam no CCC, já foi resolvido.
O que foi revelado?
O Spiegel aponta que com os dados fornecidos pela empresa, que estavam acessíveis a qualquer pessoa sem a necessidade de "grandes conhecimentos de informática", era possível saber onde cada carro esteve, a que horas e quanto tempo ele ficou parado.
Afirma-se que nos modelos de Audi e Skoda afetados, o posicionamento tinha uma margem de erro de 10 quilômetros, mas nos carros da Volkswagen, a margem de erro era de apenas 10 centímetros.
Além disso, foram coletadas e exibidas informações sobre o estado da bateria a cada partida e desligamento, ou se o carro havia passado pelas revisões necessárias.
Informações extremamente sensíveis
"Não pode ser que meus dados sejam armazenados sem criptografia na nuvem da Amazon e depois nem mesmo estejam suficientemente protegidos." As palavras são de Nadja Weippert, representante dos Verdes no parlamento alemão, porta-voz de proteção de dados de seu grupo parlamentar e prefeita de Tostedt, coletadas pelo Spiegel.
O artigo explica que a filtragem massiva poderia ter permitido que qualquer pessoa verificasse onde alguém mora, a que horas sai de casa, quanto tempo dirige a cada dia ou quanto tempo o carro fica parado. Toda a sua rotina ficou visível aos olhos de qualquer um que tivesse conhecimentos suficientes de informática.
O mesmo aconteceu com Markus Grübel, membro da CDU no parlamento alemão. Como Weippert, este político alemão colaborou com o jornal para demonstrar os perigos causados por essa filtragem massiva de dados.
No caso dele, também foi possível localizar quando e por onde ele se movia, mas, por exemplo, também ficaram expostas as visitas à residência onde vive seu pai.
Ex-parceiros, mas também militares
De fato, entre os casos de uso que o Spiegel menciona, está o fato de que os dados de condução e estacionamento ficaram visíveis para rastreamentos e ataques de todos os tipos. Fala-se de ex-parceiros ou de informações úteis para chantagistas e extorquidores, mas também poderia ter ido mais longe.
No jornal alemão, são mencionados casos extremamente problemáticos. Nos dados fornecidos, era possível verificar quais carros, em que horários e por quanto tempo ficavam estacionados perto de edifícios especialmente delicados, como os relacionados às forças de segurança.
De fato, foi possível rastrear o comportamento de mais de uma trintena de carros de polícia local.
Como aconteceu?
A origem do problema esteve em uma atualização do veículo no verão passado. Na época, a cada viagem gerava-se um pacote de dados relativos à condução que era enviado para a nuvem.
Neles, eram coletadas informações sensíveis relacionadas a como, quando e por onde se moviam os proprietários de 800.000 veículos elétricos da Volkswagen, mas também de Seat, Audi e Skoda, distribuídos por toda a Europa.
Os dados ficaram expostos durante meses sem números e com os nomes dos donos dos veículos ou dos responsáveis pela frota de cada carro. "Espero que a Volkswagen resolva isso, colete menos dados e que, em todo caso, eles sejam anônimos", afirmou Wippert ao Spiegel, deixando claro que era possível rastrear sem muitos problemas quem estava circulando dentro do carro.
Para que são utilizados esses dados?
Segundo a Cariad, coletar dados de posicionamento GPS, além do estado da bateria, o acionamento e desligamento do motor, ou o comportamento e hábitos de recarga são necessários para melhorar a experiência dos clientes e aprimorar o produto. O grande objetivo é criar perfis e casos de uso com dados que deveriam ser anônimos.
Está resolvido?
Na Xataka, entramos em contato com a Volkswagen, mas não obtivemos resposta no momento em que escrevemos este artigo. Atualizaremos as informações assim que recebermos a resposta.
O CCC (Chaos Computer Club) assegura que a Cariad (empresa responsável pelo software do Grupo Volkswagen) já solucionou o erro de software que causou a filtragem. "A equipe técnica da Cariad reagiu de forma rápida, minuciosa e responsável", afirmou o grupo especializado em segurança cibernética através de Linus Neumann, seu porta-voz.
A Cariad garante que o problema não se deve a uma brecha de segurança e reconhece que o erro foi em uma configuração mal implementada que permitiu o acesso livre a dados que deveriam ter sido protegidos.
Eles afirmam, ainda, que não é necessário tomar nenhuma medida extra de segurança, pois não foram expostas senhas nem dados de pagamento.
Ver 0 Comentários