Volkswagen menghadapi skandal besar akibat kebocoran data 800.000 kendaraan listrik
Awal bulan ini, Volkswagen menghadapi skandal besar ketika perusahaan perangkat lunak otomotif Cariad mengungkapkan bahwa data sekitar 800.000 kendaraan listrik telah bocor karena kesalahan keamanan yang serius. Informasi tersebut terkait dengan nama pengemudi dan lokasi sebenarnya kendaraan, sehingga meningkatkan kekhawatiran tentang keselamatan dan privasi pelanggan.
Detail pelanggan Volkswagen berukuran terabyte disimpan tanpa perlindungan di Amazon Cloud selama berbulan-bulan, sehingga siapa pun yang memiliki pengetahuan teknis terbatas dapat melacak pergerakan pengemudi atau mengumpulkan informasi pribadi. Data yang bocor tidak hanya mencakup kendaraan Volkswagen tetapi juga model Seat, Audi dan Skoda, dengan akurasi geolokasi.
Penyebab kejadian tersebut bermula dari kesalahan konfigurasi pada dua aplikasi IT Cariad. Organisasi peretas etis terbesar di Eropa, Chaos Computer Club (CCC), memberi tahu Cariad tentang masalah ini. CCC menemukan kerentanan dari pelapor dan menguji akses yang tidak aman sebelum memberikan informasi teknis kepada Cariad dan Volkswagen.
Cariad mengatakan hanya kendaraan yang terkoneksi internet dan berlangganan layanan online yang akan terdampak. Dari 800.000 kendaraan yang terpapar, peneliti menemukan data geografis untuk 460.000 kendaraan, dengan akurasi hingga sepuluh sentimeter untuk beberapa kendaraan. Perusahaan juga mencatat bahwa keamanan data telah ditingkatkan dengan nama samaran untuk melindungi privasi.
Spiegel menemukan rincian lokasi dari mobil dua politisi Jerman hanya dengan menggunakan perangkat lunak gratis. Alat-alat ini mencari kebocoran aset Cariad yang berisi informasi sensitif dan menghasilkan penemuan salinan memori dari aplikasi internal Cariad.
Cariad merespons dengan cepat untuk memperbaiki masalah tersebut dan menutup akses pada hari yang sama ketika CCC melaporkannya. Perusahaan juga menegaskan tidak ada bukti bahwa data tersebut diakses oleh pihak ketiga. CCC hanya mengakses data dari kendaraan dan tidak dapat mengakses kendaraan itu sendiri.
Cariad mengatakan pelanggan dapat menonaktifkan opsi untuk menggunakan data pribadi dan menekankan bahwa data yang dikumpulkan dari kendaraan membantu memberikan fungsi digital kepada pelanggan dan menciptakan manfaat tambahan.
Awal bulan ini, perusahaan Volkswagen telah menghadapi skandal besar ketika perusahaan perangkat lunak otomotif Cariad mengungkapkan bahwa data sekitar 800.000 kendaraan listrik bocor karena kesalahan keamanan serius. Menurut laporan tersebut, informasi ini dapat dikaitkan dengan nama pengemudi dan mengungkapkan lokasi sebenarnya kendaraannya, sehingga menimbulkan kekhawatiran besar tentang keselamatan dan privasi pelanggan.
Detail pelanggan Volkswagen berukuran terabyte disimpan tanpa perlindungan Amazon Cloud selama berbulan-bulan, memungkinkan siapa pun dengan pengetahuan teknis terbatas untuk melacak pergerakan pengemudi atau mengumpulkan informasi pribadi. Daftar data yang bocor tidak hanya mencakup kendaraan Volkswagen tetapi juga model Seat, Audi dan Skoda, dengan beberapa data geolokasi setepat beberapa sentimeter saja.
Alasannya berasal dari konfigurasi kesalahan dalam dua aplikasi TI Cariad, perwakilan perusahaan berbagi dengan BleepingComputer. Pada tanggal 26 November, organisasi peretas etis terbesar di Eropa, Chaos Computer Club (CCC), memberi tahu Cariad tentang masalah ini. CCC menemukan kerentanan dari pelapor dan menguji akses yang tidak aman sebelum memberikan informasi teknis kepada Cariad dan Volkswagen.
Dalam pernyataannya kepada BleepingComputer, perwakilan Cariad mengatakan bahwa hanya kendaraan yang terhubung ke internet dan berlangganan layanan online yang terpengaruh. Dari hampir 800.000 kendaraan yang terpapar, peneliti menemukan data geografis untuk 460.000 kendaraan, dengan akurasi hingga sepuluh sentimeter untuk beberapa kendaraan. Secara khusus, lebih dari 30 di antaranya adalah anggota patroli polisi Hamburg, sedangkan sisanya adalah pegawai badan intelijen yang dicurigai.
Perusahaan mengatakan bahwa peretas CCC hanya dapat mengakses data setelah melewati beberapa mekanisme keamanan, dan ini memerlukan keahlian teknis dan waktu yang cukup besar. Data setiap kendaraan juga telah ditingkatkan dengan nama samaran untuk melindungi privasi, namun, peretas telah menggabungkan kumpulan data yang berbeda untuk memberikan informasi kepada pengguna tertentu guna Meningkatkan efisiensi dalam mengakses informasi.
Spiegel mengorganisir tim pakar IT dan jurnalis yang menemukan rincian lokasi dikumpulkan dari mobil dua politisi Jerman, Nadja Weippert dan anggota parlemen Markus Grübel, hanya dengan menggunakan perangkat lunak yang tersedia secara gratis. Alat-alat ini mencari kebocoran aset Cariad yang berisi file informasi sensitif dan menghasilkan salinan penyimpanan dari aplikasi internal Cariad.
Di dalam dump memori, peretas menemukan kunci akses ke penyimpanan cloud di Amazon tempat Cariad menyimpan data yang dikumpulkan dari kendaraan pelanggan di grup Volkswagen. Spiegel melaporkan, beberapa data menunjukkan koordinat bujur dan lintang kendaraan saat motor listrik dimatikan. “Untuk model VW dan Seat, geo-data ini akurat hingga sepuluh sentimeter, dan untuk model Audi dan Skoda akurat hingga sepuluh kilometer, jadi tidak terlalu serius,” kata Spiegel.
Mayoritas kendaraan yang terkena dampak, sekitar 300,000, berlokasi di Jerman, sementara peneliti juga menemukan informasi tentang kendaraan di Norwegia (80,000), Swedia (68,000), Inggris (63,000), Belanda (61,000), Perancis (53,000), Belgia (68.000) dan Denmark (35.000). Cariad juga mengatakan tim keamanannya merespons dengan cepat untuk memperbaiki masalah tersebut dan menutup akses pada hari yang sama ketika CCC melaporkannya.
Perwakilan CCC mengonfirmasi kepada Spiegel bahwa tim teknis Cariad “bereaksi dengan cepat, menyeluruh, dan bertanggung jawab” dan bahwa perusahaan merespons dalam beberapa jam setelah menerima informasi teknis. Berdasarkan hasil penyelidikan, Cariad tidak memiliki bukti bahwa pihak lain, selain peretas CCC, mengakses data kendaraan yang terekspos atau informasi tersebut disalahgunakan oleh pihak ketiga.
Perusahaan juga menekankan bahwa CCC hanya dapat mengakses data yang dikumpulkan dari kendaraan dan tidak dapat mengakses kendaraan itu sendiri. Cariad mengatakan bahwa pelanggan merek grup Volkswagen dapat menyetujui penggunaan produk dan layanan yang memerlukan pemrosesan data pribadi dan dapat menonaktifkan opsi ini kapan saja. Namun, perusahaan juga mencatat bahwa data yang dikumpulkan dari kendaraan membantunya “menyampaikan, mengembangkan, dan meningkatkan kemampuan digital” bagi pelanggan serta menciptakan manfaat tambahan.
Eksplorasi konten lain dari Heart To Heart
Berlangganan untuk dapatkan pos terbaru lewat email.
