“Sappiamo dove si trova la tua auto“, titola Der Spiegel il 27 dicembre: è la rivelazione di una delle più grandi fughe di dati relative alle auto elettriche. 

Per mesi, i dati personali tra cui la geolocalizzazione di 800.000 proprietari di veicoli del gruppo, che comprende i marchi Vorlkswagen, Audi, Seat e Skoda, sono stati disponibili a chiunque. 

Ma cos’è successo? Per interagire con il proprio veicolo e sfruttarne le potenzialità, è ormai prassi che i proprietari di auto debbano installare un’app dedicata, che consente di preriscaldare l’auto, verificare il livello di carica della batteria e controllare l’autonomia attuale. Nel caso di veicoli del gruppo, si tratta di app come Volkswagen o myAudi. 

Queste inviano i dati degli utenti a un server sul sistema di archiviazione Amazon cloud, e il tutto è gestito dalla società di software Cariad, una consociata Volkswagen. 

Il problema è che dall’anno scorso questi dati, a causa di un errore, non erano protetti, ed erano disponibili online.

In realtà, come confermato da Volkswagen, per accedervi era necessario un certo livello di competenza, ma un hacker avrebbe potuto farlo.

E infatti a scoprire la falla è stato proprio un hacker anonimo, che ha condiviso la notizia conl’associazione Chaos Computer Club. Il gruppo ha così recuperato le informazioni di alcuni clienti e avvertito l’azienda il 26 novembre, un mese prima di rendere pubblica la notizia. Ora la falla di sicurezza, se così si può chiamare, è stata corretta, ma per mesi chiunque avrebbe potuto conoscere la posizione, in alcuni casi precisa con uno scarto di 10 cm, dei veicoli in tempo reale. 

I dati includevano le informazioni di contatto e i dati di movimento, in 466.000 casi così precisi da rendere possibile il tracciamento della routine quotidiana del conducente.

Der Spiegel ha riferito che l’elenco dei proprietari include politici tedeschi, imprenditori, l’intera flotta di veicoli elettrici guidata dalla polizia di Amburgo e persino (si pensa) dipendenti dei servizi segreti.

Non ci sono prove che qualcuno abbia avuto accesso a questi dati, e Cariad ha cercato di tranquillizzare gli utenti dicendo che “non sono stati esposti dati sensibili come password o dati di pagamento“, e che i clienti “non hanno bisogno di intraprendere alcuna azione“.

Ma chi è stato coinvolto? Secondo Der Spiegel, la maggioranza dei veicoli sono in Germania, come si può vedere dal grafico qui sotto, dove si vedono i dieci Paesi con più auto coinvolte. L’Italia non figura tra questi, ma questo non vuol dire che non ci siano almeno diverse migliaia di utenti italiani nel database. 

Il problema però è ben più grave. Ormai le auto contengono i nostri dati alla stregua dei nostri telefoni, con informazioni relative alla posizione, ai contatti, email, password e informazioni di pagamento. 

Sistemi di infotainment sempre più sofisticati e sempre connessi a Internet espongono gli utenti ad attacchi dall’esterno, e con l’avvento della guida autonoma (ma anche i “semplici” ADAS) i problemi sono esponenzialmente più gravi.

E Volkswagen non è l’unica. L’anno scorso Toyota è stata travolta da uno scandalo, quando si è scoperto che i dati di 2,5 milioni di utenti sono stati esposti per dieci anni. Sempre l’anno scorso, un hacker americano ha  dimostrato di poter entrare in qualsiasi account utente di dipendenti e rivenditori BMW e visualizzare i documenti di vendita.

Altri hacker sono riusciti a entrare nel sistema di KIA e hanno potuto sbloccare i veicoli da remoto e persino avviarli. Nel 2015 alcuni hacker sono entrati nel sistema di Jeep è sono stati in grado di controllare a distanza freni, velocità e radio.