Výkony softwarové divize Cariad nejsou ničím, čím by se Volkswagen Group mohla chlubit. Po chronických problémech softwaru nových koncernových elektromobilů, jejichž řešení zabralo roky a dodnes ještě není zcela dokončeno, vyplaval na povrch velký skandál. Podle Spiegelu se na internetu objevily údaje o pohybu zhruba 800 000 elektromobilů značek Volkswagen, SEAT, Audi a Škoda, které umožňovaly, v nadpoloviční většině případů velice přesně, vysledovat pohyby jednoho každého vozidla a navíc mnohdy zjistit kontaktní údaje na majitele. Mezi postiženými byli i policisté a politici, kteří také volají po rázných opatřeních od automobilky, která má v současné době více než dost jiných problémů.
Data totiž byla několik měsíců uložena v cloudu Amazonu, z velké části bez jakékoliv ochrany a šifrování, přístupná s pomocí volně dostupných nástrojů de facto každému se základním povědomím o hackingu. Obsahovala velice přesné údaje o pohybu aut, včetně přesných časů vypnutí a zapnutí. O tom, jak snadno by bylo možné podobná data zneužít, netřeba dlouze spekulovat; ostatně to už udělal ve svém velmi rozsáhlém textu právě Spiegel. Pohyb aut totiž bylo možné sledovat po celém světě, včetně citlivých oblastí, jako je třeba Ukrajina či Izrael. Nebezpečnější byla tato záležitost pro vozy Volkswagen a Seat, u nichž umožňovala lokalizaci na desítky centimetrů, zatímco u Škodovek a Audi to byly desítky kilometrů.
Na bezpečnostní díru upozornila společnost „hodných“ hackerů Chaos Computer Club (CCC), která se snaží v podobných případech předcházet dalším škodám. Ta společnost Cariad uvědomila, reakce v podobě zacelení bezpečnostní díry přišla prý během několika hodin. Analýza problému v tuto chvíli probíhá, Cariad, který jej nijak nezastírá, v tuto chvíli mluví o „chybné konfiguraci“. Podle jeho zástupců také nemělo dojít k žádnému zneužití z třetích stran a zákazníci se prý nemusejí ničeho obávat, ani nic měnit. Na otázku, proč takové údaje Cariad vůbec shromažďuje, společnost zareagovala, že jde o anonymizovaná data, sloužící ke zdokonalování softwaru.
Volkswagen není první a zřejmě ani poslední automobilkou, kterou podobný problém postihl. Toyotě kupříkladu před časem podobně unikly údaje 2,16 milionů zákazníků, hackeři se nedávno pochlubili například průnikem do citlivých dat BMW a Mercedesu, vozy Kia se jim podařilo na dálku odemknout a nastartovat, u Jeepů šlo takto dokonce ovládat plyn, brzdy a rádio. Současné, velice složité automobily totiž obsahují stovky senzorů, které monitorují a také vysílají podrobné a přesné údaje o poloze, stylu jízdy, okolí atd. Není těžké si představit, že jde o pravý poklad pro nepřátelské subjekty, ať už na úrovni nepřátelských mocností, nebo organizovaného zločinu. Automobilky navíc data ukládají, a to v naprosté většině případů ve větší míře, než je nutné. Opět s většinou z nich se navíc dále pracuje. A to všechno zabezpečit je velice složitý, a jak vidno také téměř neřešitelný úkol.
Otevírá se také složitá otázka, komu tato data vlastně patří a kdo by s nimi měl manipulovat. Oficiálních zájemců je samozřejmě celá řada v čele s pojišťovnami, které by si touto cestou rády posvítily na řidičský styl svých klientů a podle toho jim vypočítaly sazby. Výrobci každopádně kontrolu postupně ztrácejí, zejména po přelomovém rozsudku soudu v Kolíně nad Rýnem z května 2024, který rozhodl, že automobilky by neměly ztěžovat přístup k datům o servisní historii vozidel nezávislým servisům. Do problému se již vložila i Evropská unie, která novým zákonem o ochraně osobních údajů, platným od září 2025, umožní zákazníkům automobilek větší kontrolu nad daty, které o nich automobilky shromažďují. I přes tuhý odpor tak budou muset výrobci svým klientům poskytnout snadný a bezplatný přístup k archivovaným údajům, které se jich týkají. Má to pomoci zprůhlednit, co se s citlivými daty vlastně děje.
