Uma vulnerabilidade no sistema da Cariad, a subsidiária de software da Volkswagen, expôs a possibilidade de terceiros acessarem a localização dos veículos da montadora.
A revista alemã Der Spiegel foi quem trouxe a público esta informação, a partir de uma fonte anônima — possivelmente um whistleblower, termo utilizado para designar pessoas dentro de organizações que denunciam irregularidades internas.
De acordo com a publicação, dados de cerca de 800 mil veículos globalmente poderiam ser acessados indevidamente.
A Cariad é responsável pelo desenvolvimento e gestão do aplicativo Volkswagen, uma ferramenta destinada aos proprietários de veículos da marca para obterem informações e dados sobre seus automóveis.
Assim como outras montadoras, o aplicativo coleta informações de GPS e de outras fontes.
No entanto, Der Spiegel evidenciou que esses dados estavam armazenados de forma desprotegida em um servidor da Amazon.
Conforme informado pela Cariad, não houve acesso aos dados por parte de agentes mal-intencionados, como hackers.
Portanto, se você possui um veículo Volkswagen ou de alguma de suas subsidiárias, pode ficar relativamente sossegado.
As informações sobre sua localização e padrões de deslocamento não foram comprometidas — apenas a Volkswagen detém essas informações.
A subsidiária e o Chaos Computer Club, um grupo europeu de hackers white hat, apontaram que o acesso aos dados exigiria um conhecimento avançado em programação.
Ou seja, um usuário comum não teria capacidade para acessar essas informações, mas crackers ou agências de inteligência, sim.
O aplicativo destinado aos proprietários dos veículos Volkswagen monitora, entre outras coisas, a localização do veículo sempre que ele é ligado ou desligado.
Dessa maneira, é possível mapear os padrões de deslocamento do condutor.
Dois políticos alemães, Nadja Weippert e Markus Grubel, permitiram que Der Spiegel acessasse seus dados armazenados pela Cariad.
Com acesso a esses dados, foi viável identificar o paradeiro de Nadja, seja em casa, no parlamento estadual, na padaria ou na clínica de fisioterapia que frequenta.
Isso mostra que, capturando o momento de ativação ou desligamento do veículo, pode-se conhecer o tempo que o motorista permaneceu em um determinado local.
A Cariad realizou correções no sistema após ser notificada pela Der Spiegel.
Além de veículos Volkswagen, o aplicativo também é utilizado em carros de marcas do grupo, como Audi, Seat e Skoda.
Segundo a revista, a maioria dos 800 mil veículos no aplicativo estão localizados na Europa, porém apenas 460 mil continham dados relacionados à localização.
Este incidente ressalta a questão de montadoras “digitalizarem excessivamente”.
Em março de 2024, reportamos sobre fabricantes que comercializavam dados de conduta ao volante para seguradoras.
Em 2023, a Mozilla divulgou um relatório indicando que a proteção de dados em veículos modernos é deficiente, além de coletarem informações em excesso.
No contexto da Cariad e Volkswagen, a justificativa para a coleta de dados dos usuários de carros elétricos visa melhorar o sistema de bateria — incluindo a célula e o processo de carregamento.
Os clientes têm a opção de não compartilhar seus dados de localização com as montadoras.
O dilema reside em quanto tempo essa escolha permanecerá opcional e se eventualmente os consumidores serão obrigados a divulgar informações para adquirir um veículo (e se essa ação ainda poderá ser considerada uma compra).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...