フォルクスワーゲンの自動車ソフトウェア会社「カーリアド」により、約80万台の電気自動車から収集されたデータがネット上で流出しました。この情報は運転手の名前と、正確な車両の位置情報に関連付けられる可能性があり、深刻なプライバシーの危機を引き起こしています。
この流出したデータは、アマゾンのクラウドストレージに未保護の状態で数ヶ月間保存されており、技術的な知識がほとんどない人でも運転手の動きを追跡したり、個人情報を集めたりすることができました。データベースには、フォルクスワーゲン、シート、アウディ、シュコダの車両に関する詳細が含まれており、いくつかの車両の位置情報は数センチメートルという精度で取得されていました。
カーリアドの不適切なITアプリケーションの設定が原因で、車両データへのアクセスが可能になったことが明らかになっています。この問題について、倫理的ハッカーの団体であるカオスコンピュータクラブ(CCC)から、11月26日にカーリアドに通知がありました。高名なドイツの出版物「シュピーゲル」によると、CCCは内部告発者からこの脆弱性を知り、不正アクセスを試験した後、カーリアドとフォルクスワーゲンの責任者に技術的な詳細を提供しました。
カーリアドの代表者は、流出したデータはインターネットに接続されているオンラインサービスに登録された車両にのみ影響を与えると述べています。流出した約80万台の車両の中から、46万台の車両に位置情報データが含まれており、ある車両に関しては精度が10センチメートルという結果が出ました。
流出した情報には、ハンブルク警察のパトロールカーや、諜報機関に関連する人物の車両も含まれているとのこと。カーリアドは、CCCのハッカーがデータにアクセスするには複数のセキュリティメカニズムを回避する必要があり、大きな時間と技術的専門知識を必要としたと主張しています。
しかし、シュピーゲルはIT専門家とジャーナリストのチームを構成し、ドイツの政治家2名(ナディア・ヴァイペルトとブンデスタッグ議員マルクス・グリューベル)の車両から収集された位置情報を、自由に利用できるソフトウェアを用いて発見しました。これらのツールは、カーリアドの資産をスキャンし、敏感な情報を含むファイルを見つける手助けをしました。
最も影響を受けた車両はドイツに約30万台あり、ノルウェー(8万台)、スウェーデン(6万8千台)、イギリス(6万3千台)、オランダ(6万1千台)、フランス(5万3千台)、ベルギー(6万8千台)、デンマーク(3万5千台)にも情報があったことが確認されました。カーリアドは、事故を防ぐため、すぐに問題を修正し、CCCが報告を送付したその日にアクセスを閉じたと述べています。
カーリアドは、他の当事者が流出したデータにアクセスした証拠はないとしており、CCC以外の第三者による情報の不正使用は確認されていないと強調しています。顧客は個人データを処理する製品やサービスの利用に同意することができ、いつでもそのオプションを無効にすることができます。しかし、収集されたデータは「顧客にデジタル機能を提供、開発、改善するために必要である」としています。
この事件は、プライバシー保護の重要性を再認識させるものであり、消費者は自らのデータがどのように扱われるかについて敏感になる必要があります。