Gigantisk datalekkasje: Slik ble 80.000 biler sporet i Norge

Gigantisk datalekkasje: Slik ble 80.000 biler sporet i Norge

Sensitive data om 80.000 norske biler, sjåførene og eiere ble lastet ned. –⁠ Inneholder alt fra om dekket ditt er flatt til hvor du har parkert bilen, sier sikkerhetsekspert til VG.

Lytt til saken

KortversjonenOppsummeringen er laget med kunstig intelligens og kvalitetssikret av VGs journalister.

• Data om 800.000 biler, deres sjåfører og eiere ble lekket.
• Lekkasjen omfatter detaljert informasjon og posisjonsdata.
• Volkswagen, Audi, Seat og Skoda biler er berørt.
• Sikkerhetshullet er nå tettet, men eierne av bilene er ikke varslet.
• Saken vekker bekymring hos Datatilsynet og sikkerhetseksperter.

Vis mer

– I datalekkasjen fra Volkswagen fant vi blant annet personer som jobber i tyske sikkerhetstjenester og militære, politikere og andre ledere i føderale myndigheterNasjonale myndigheter i Tyskland som har makt over hele landet, i motsetning til lokale eller regionale myndigheter., posisjonen til bilene deres og andre tekniske opplysninger som åpenbart utgjør en sikkerhetstrussel, sier sikkerhetsekspert Flüpke til VG.

Flüpke jobber til daglig i et privat it-selskap, men har i høst analysert en detaljert lekkasje om 800.000 europeiske elbiler, sjåfører, eierne, kjørevaner og tekniske feil som kom på avveie grunnet en sikkerhetsbrist hos Volkswagen.

Datene i lekkasjen oppgir posisjonen til biler med en nøyaktighet ned til ti centimeter. Volkswagen, Audi, Skoda og Seat er populære merker her til lands og 80.000 biler i Norge er omfattet av lekkasjen, ifølge Der Spiegel .

Avisen trykket avsløringen i romjulen under tittelen «Vi vet hvor bilen din er».

– Dataene om biler og eiere i Norge er like detaljerte som for de tyske bilene. Det er i hovedsak biler i Europa som er omfattet av lekkasjen, sier Flüpke.

Lekkasjen på flere terrabyteEn måleenhet for datalagring som tilsvarer omtrent en billion byte, eller 1000 gigabyte. data omfatter blant annet:

I likhet med andre moderne biler har Volkswagen en app for mobiltelefonen som lar eiere forvarme bilen, sjekke rekkevidde og hvor bilen står parkert. Data om app-brukerne er også en del av lekkasjen.

I lekkasjen finnes både informasjonen fra appen og bilen, som ikke skal være offentlig tilgjengelig. Likevel var flere terabyte med data stort sett ubeskyttet og tilgjengelig i flere måneder i Amazons skylagring, skriver Der Spiegel.

Blant bilene var Hamburg-politiets 35 elektriske patruljebiler og biler som avisen antar at brukes av ansatte i etterretningstjenesten, skriver Der Spiegel.

– Selv om ikke de burde det, har Volkswagen samlet inn omfattende bevegelsesdata om kundene sine. På grunn av sårbarhetene, utsatte Volkswagen ikke bare hundretusenvis av privatpersoner, men også selskaper innen forsvarsindustrien og sikkerhetsmyndigheter for betydelig fare, sier Flüpke.

Harald A. Møller AS er Norges største selger av Volkswagen, Audi og Skoda.

– Vi har fått informasjon om saken, og en trygghet for at dette følges opp på en grundig måte fra fabrikkens side. Det meldes også om at sikkerhetshullet er tettet, og at ingen mer sensitiv data er på avveie. Det er viktig også for oss å legge til at den aktøren som har funnet smutthullet ikke har kriminelle hensikter, og at den begrensede informasjonen de fant skal slettes på en forsvarlig måte, sier direktør for myndighetskontakt Øyvind Rognlien Skovli til VG.

– Har dere visst om den innsamlingen og lagringen av data om biler og eiere eller sjåfører som avsløres i Spiegel-saken?

– Nei, vi har fått informasjon om saken først nå nylig, sier Rognlien Skovli.

Han forventer å få mer informasjon om saken i tiden som kommer.

Det var en varsler som oppdaget sikkerhetsbristen og tok kontakt med Europas største forening for hackere, Chaos Computer Club (CCC)Chaos Computer Club (CCC): En av Europas største og eldste hackerorganisasjoner, kjent for å jobbe med datasikkerhet og personvern. og Der Spiegel.

Journalistene analyserte dataene før de kontaktet Volkswagen og meldte fra om sikkerhetsbristen. Der Spiegel ventet med å publisere artikkelen til feilen var rettet opp. Så slettet de lekkasjen. Flüpke la frem funnene på en konferanse i Hamburg i går.

Det varierte hvilken informasjon som var tilgjengelig. Dataene hadde nøyaktige lokaliseringsposisjoner for 460.000 biler. Med det kan uvedkommende analysere kjørevaner og reisemønsteret til personen bak rattet.

Feilen skal ha kommet fra Volkswagens datterselskapet Cariad. Det ble opprettet for å utvikle en felles plattform for alle konsernets ulike elbiler. Mesteparten av dataene stammer fra 2024.

Ifølge Der Spiegel oppstod feilen i fjor sommer og var lenge uoppdaget.

Avisen skriver at dataene om bilbruken er spesielt detaljert for rundt halvparten av bilene i lekkasjen, inkludert eierne av VW-modellene ID. 3 og ID.4.

Dataene Volkswagen samler inn og som lakk ut, viser nøyaktig både hvor og når den enkelte bilen ble slått av og på.

Volkswagens talsperson for bærekraft og integritet, Nicolai Laude, bekrefter at data som samles inn og lagres om norske biler og eiere, etter all sannsynlighet er like detaljerte som i Tyskland.

Han sier til VG at de ikke har varslet noen kunder, hverken i Norge eller andre land, hverken om sikkerhetsbristen eller at kundedata har vært på avveie.

– Spør dere kunder om å få samle inn og lagre informasjon om hvor de setter fra seg bilen og hvor den står når den startes?

– Kundene må si seg enig i innsamlingen og bruken av data fra bilene, sier Laude til VG.

– Men sier de seg enige i at Volkswagen kan samle inn og lagre data om hvor og når de setter fra seg og starter bilene sine?

– Det er ikke helt klart for meg. Jeg kan ikke svare et klart ja eller nei på det spørsmålet. Volkswagen Group samler inn, lagrer, overfører og bruker personopplysninger utelukkende innenfor rammen av lovbestemmelsene og et eksisterende kontraktsforhold, legitime interesser eller uttrykkelig samtykke fra kunden, sier Laude.

– Så det er mulig de ikke blir spurt om det?

– Ja. Men ingen informasjon som ble lekket er blitt brukt av andre enn Chaos Computer Club og Spiegel. Vi kjenner ikke til at andre uvedkommende har brukt dataene. Vi er ikke kjent med at informasjonen er misbrukt. Det er også grunnen til at vi ikke informerte kunder, ettersom det ikke har vært påført noen skade på noen kunder.

Sikkerhetsbristen som gjorde dataene tilgjengelige skal ha oppstått for halvannet år siden. Volkswagen ble først gjort oppmerksom på den 26. november i år, heter det i en pressemelding fra selskapet.

– Det er et langt tidsrom der andre uvedkommende kan ha fått tilgang til dataene. Hvordan vet dere at ikke andre har hatt tilgang og har misbrukt dataene?

– I henhold til den nåværende kunnskapen har ingen bortsett fra CCC hatt tilgang til systemene, og vi har ingen bevis for misbruk av data fra tredjeparter. CCC hadde ikke tilgang til kjøretøy på noe tidspunkt.

Laude understreker at sikkerhetsekspertene og journalistene som analyserte lekkasjen måtte sette sammen informasjon fra ulike deler av dataene for å identifisere hvem som kjørte hvilken bil. Han sier dataene ikke matches slik av Volkswagen selv.

Laude ønsker ikke å svare på kritikken om at konsernet har satt tusenvis av enkeltpersoner, sikkerhetstjenestene og andre i fare.

– Vi kan ikke kommentere på andres synspunkter.

– Vil Volkswagen endre hvilke data som samles inn og lagres?

– Det vet jeg ikke. Det er en intern diskusjon i selskapet om hvordan vi skal håndtere dette og altfor tidlig å si hva som blir resultatet av de diskusjonene.

– Foreløpig kjenner vi kun denne saken via media. Dette ser ut som en alvorlig sak med mange berørte.Her er det snakk store mengder med personopplysninger som har ligget åpent ute med manglende tilgangsstyring, sier kommunikasjonsdirektør Janne Stang Dahl i DatatilsynetEn offentlig etat som har ansvar for å overvåke og regulere behandling av personopplysninger for å beskytte personvernet. til VG.

– Vi regner med at det tyske Datatilsynet vil være ledende tilsynsmyndighet i denne saken. Vi kan foreløpig ikke si noe om hvordan personopplysninger til norske borgere, eller bileiere, eventuelt er berørt, men vi følger med, sier Stang Dahl.

– Dette er sensitiv informasjon og utrolig talentløst. Hovedproblemet er kanskje at de i det hele tatt samler inn og lagrer den informasjonen i det hele tatt. Det skaper store sikkerhetsutfordinger i samfunnet når noen bygger slike store datareservoarer. Erfaringen tilser at de ikke klarer å beskytte det ordentlig, sier professor Kristian Gjøsteenved Institutt for matematiske fag på NTNU til VG.

<-Professor Kristian Gjøsteen ved NTNU

Gjøsteen forsker blant annet på krypteringEn metode for å beskytte informasjon ved å gjøre den uleselig for uvedkommende, slik at bare autoriserte parter kan lese den. i skyløsninger og personvernRetten til å ha kontroll over egne personopplysninger og beskyttelse mot misbruk av disse dataene.. Han sier saken viser behovet for mer sikkerhet på pensum for dataingeniører.

– Europa forsøker regulere dette, USA i mindre grad og for eksempel Kina overhodet ikke. Den pågående datarevolusjonen vår og kunstig intelligens er bygget på store mengder data, men vi bør spørre oss om vi egentlig ønsker at det samles inn slik, sier Gjøsteen.

LES MER: