VW Group menyimpan informasi sensitif untuk 800.000 kendaraan listrik dari berbagai merek pada layanan cloud Amazon yang keamanannya lemah—seolah-olah membiarkan pintu digital terbuka lebar selama berbulan-bulan.
Dilansir Carscoops, pelanggaran ini memengaruhi model listrik penuh dari merek Audi, VW, Seat, dan Skoda, tidak hanya di Jerman, tetapi juga di seluruh Eropa dan wilayah lainnya. Data yang terekspos mencakup koordinat GPS, tingkat pengisian baterai, dan informasi penting lainnya seperti status kendaraan—apakah sedang menyala atau mati. Bahkan, siapa pun dengan keahlian teknis dapat melacak lokasi mobil dan kebiasaan penggunaannya dengan mudah.
Lebih parah lagi, pengguna yang lebih mahir secara teknis dilaporkan bisa menghubungkan kendaraan dengan data pribadi pemiliknya berkat informasi tambahan yang tersedia melalui layanan online Grup VW. Dalam 466.000 dari 800.000 kasus, data lokasi begitu rinci sehingga memungkinkan pembentukan profil kebiasaan harian pemilik.
Laporan Spiegel menyebutkan bahwa daftar panjang pemilik yang terdampak bukan hanya masyarakat biasa, tetapi juga mencakup politisi Jerman, pengusaha, petugas kepolisian Hamburg (termasuk seluruh armada kendaraan listrik mereka), bahkan individu yang dicurigai sebagai agen intelijen. Ya, bahkan mata-mata ikut terkena dampak insiden digital ini.
Penyebab Skandal VW Group
Kesalahan ini berasal dari Cariad, anak perusahaan VW Group yang fokus pada perangkat lunak, akibat kegagalan pada musim panas 2024. Seorang whistleblower anonim menggunakan perangkat lunak yang dapat diakses secara bebas untuk menemukan informasi sensitif tersebut dan segera melaporkannya ke Chaos Computer Club (CCC), asosiasi peretas terbesar di Eropa.
CCC langsung menghubungi petugas perlindungan data Negara Bagian Lower Saxony, Kementerian Dalam Negeri Federal, dan badan keamanan lainnya. Mereka memberi VW Group dan Cariad waktu 30 hari untuk menyelesaikan masalah sebelum melaporkannya secara publik. Menurut CCC, tim teknis Cariad “merespons dengan cepat, menyeluruh, dan bertanggung jawab,” serta berhasil memblokir akses tidak sah ke data pelanggan.