É comum que as pessoas modernas se preocupem com o roubo dos seus dados pessoais por hackers, mas por vezes os incidentes mais graves não são causados por cibercriminosos, mas por empresas em que confiamos. Desta vez a culpa foi do Grupo Volkswagen, que não proporcionou proteção suficiente às informações dos clientes.
O Grupo VW armazenou dados confidenciais relativos a 800 mil veículos elétricos na nuvem da Amazon sem lhes fornecer proteção suficiente; as informações permaneceram vulneráveis por vários meses. Veículos elétricos das marcas VW, Audi, Seat e Skoda em todo o mundo foram afetados; A vulnerabilidade afetou dados geográficos, informações de carga da bateria e informações importantes sobre o status da máquina, incluindo se ela estava funcionando ou não. Com conhecimentos técnicos suficientes, um hipotético atacante poderia aceder a dados adicionais nos serviços online do Grupo VW e ligá-los às informações pessoais do proprietário. Em 466 mil dos 800 mil casos, os dados de localização eram tão precisos que foi possível criar um perfil detalhado dos hábitos diários de cada proprietário.
Os dados não só de cidadãos comuns foram atacados, mas também de funcionários: políticos alemães, empresários, agentes da polícia de Hamburgo e até, provavelmente, do serviço de inteligência. A vulnerabilidade surgiu no verão de 2024, quando a Cariad, empresa responsável pelos produtos de software do Grupo VW, cometeu um erro. Foi descoberto por um especialista anônimo que confirmou a vulnerabilidade e notificou a maior associação de hackers da Europa, Chaos Computer Club (CCC), sobre o incidente. A organização notificou imediatamente o comissário de proteção de dados na Baixa Saxônia, o Ministério de Assuntos Internos e outras autoridades de segurança – os departamentos deram ao Grupo VW e ao Cariad 30 dias para resolver o problema, após os quais prometeram tornar públicas as informações sobre o assunto. A Cariad “respondeu de forma rápida, completa e responsável”, bloqueando o acesso não autorizado aos dados dos clientes, disse o CCC.
Posteriormente, a Cariad garantiu aos clientes que informações confidenciais, incluindo senhas e detalhes de pagamento, não haviam sido comprometidas e, portanto, nenhuma ação foi necessária de sua parte. Os políticos alemães ficaram extremamente preocupados com o incidente e apelaram aos fabricantes de automóveis para reforçarem as medidas de segurança cibernética.