Her sto de: 80.000 biler sporet i Norge

– I datalekkasjen fra Volkswagen fant vi blant annet personer som jobber i tyske sikkerhetstjenester og militære, politikere og andre ledere i føderale myndigheter, posisjonen til bilene deres og andre tekniske opplysninger som åpenbart utgjør en sikkerhetstrussel, sier sikkerhetsekspert Flüpke til VG.

De siste månedene har Flüpke analysert detaljert informasjon om 800.000 elbiler eierne, kjørevaner og tekniske feil som kom på avveie grunnet en sikkerhetsbrist i Volkswagens systemer for dataoverføring.

– Dataene om biler og eiere i Norge er like detaljerte som for de tyske bilene. Det er i hovedsak biler i Europa som er omfattet av lekkasjen, sier Flüpke.

Lekkasjen omfatter blant annet:

• Rammenummer på bilene.
• Modell og produksjonsår.
• Informasjon om batteriet.
• Brukernavn i appen.
• E-post og telefonnummer på eiere.

En Volkswagen ID. 4 GTX elbil, en av mange modeller som går igjen i lekkasjen fra bilkonsernet. Foto: Hanne Hattrem / VG

Også biler fra Seat, Audi og Skoda er omfattet av skandalen, dersom de er bygget på samme plattform og deler data på samme måte.

Funnene ble presentert i Der Spiegel 27. desember under tittelen «Vi vet hvor bilen din er».

Lekkasjen omfatter også 80.000 biler eksportert til Norge, det høyeste antallet etter Tyskland.

Datene i lekkasjen oppga posisjonen til biler med en nøyaktighet ned til ti centimeter. Slik stod bilene i Oslo, Brussel, Stockholm og København parkert, basert på data i lekkasjen:

I likhet med andre moderne biler har Volkswagen en app for mobiltelefonen som lar eiere forvarme bilen, sjekke rekkevidde og hvor bilen står parkert.

Posisjonsdata om politibiler

I lekkasjen finnes både informasjonen fra appen og bilen, som ikke skal være offentlig tilgjengelig. Likevel var flere terabyte med data stort sett ubeskyttet og tilgjengelig i flere måneder i Amazons skylagring, skriver Der Spiegel.

Blant bilene var Hamburg-politiets 35 elektriske patruljebiler og biler som avisen antar at brukes av ansatte i etterretningstjenesten, skriver Der Spiegel.

– Selv om ikke de burde det, har Volkswagen samlet inn omfattende bevegelsesdata om kundene sine. På grunn av sårbarhetene, utsatte Volkswagen ikke bare hundretusenvis av privatpersoner, men også selskaper innen forsvarsindustrien og sikkerhetsmyndigheter for betydelig fare, sier Flüpke.

– Sikkerhetshullet er tettet

Harald A. Møller AS er Norges største selger av Volkswagen, Audi og Skoda.

– Vi har fått informasjon om saken, og en trygghet for at dette følges opp på en grundig måte fra fabrikkens side. Det meldes også om at sikkerhetshullet er tettet, og at ingen mer sensitiv data er på avveie. Det er viktig også for oss å legge til at den aktøren som har funnet smutthullet ikke har kriminelle hensikter, og at den begrensede informasjonen de fant skal slettes på en forsvarlig måte, sier direktør for myndighetskontakt Øyvind Rognlien Skovli til VG.

– Har dere visst om den innsamlingen og lagringen av data om biler og eiere eller sjåfører som avsløres i Spiegel-saken?

– Nei, vi har fått informasjon om saken først nå nylig, sier Rognlien Skovli.

Han forventer å få mer informasjon om saken i tiden som kommer.

Det var en varsler som oppdaget sikkerhetsbristen og tok kontakt med Europas største forening for hackere, Chaos Computer Club (CCC) og Der Spiegel.

Journalistene analyserte dataene før de kontaktet Volkswagen og meldte fra om sikkerhetsbristen. Nå er de slettet. De ventet med å publisere saken til feilen ble rettet opp. Flüpke la frem funnene på en konferanse i Hamburg i går.

Datterselskap

Det varierte hvilken informasjon som var tilgjengelig. Dataene hadde nøyaktige lokaliseringsposisjoner for 460.000 biler. Med det kan uvedkommende analysere kjørevaner og livene til personen bak rattet.

Feilen skal ha kommet fra Volkswagens datterselskapet Cariad. Det ble opprettet for å utvikle en felles plattform for alle konsernets ulike elbiler. Ifølge Der Spiegel ble feilen gjort i fjor sommer, men uten å bli oppdaget.

Avisen skriver at dataene om bilbruken er spesielt detaljert for rundt halvparten av bilene i lekkasjen, inkludert eierne av VW-modellene ID. 3 og ID.4.

Datene Volkswagen samler inn og som ble lekket viser når den enkelte bilen ble slått på og når og nøyaktig hvor den ble slått av.

Mesteparten av dataene kommer fra 2024, noe av det går lenger tilbake.

Varslet ikke eierne

Volkswagens talsperson for bærekraft og integritet, Nicolai Laude, bekrefter at data som samles inn og lagres om norske biler og eiere, etter all sannsynlighet er like detaljerte som i Tyskland.

Han sier til VG at de ikke har varslet noen kunder, hverken i Norge eller andre land, hverken om sikkerhetsbristen eller at kundedata har vært på avveie.

– Spør dere kunder om å få samle inn og lagre informasjon om hvor de setter fra seg bilen og hvor den står når den startes?

– Kundene må si seg enig i innsamlingen og bruken av data fra bilene, sier Laude til VG.

– Men sier de seg enige i at Volkswagen kan samle inn og lagre data om hvor og når de setter fra seg og starter bilene sine?

– Det er ikke helt klart for meg. Jeg kan ikke svare et klart ja eller nei på det spørsmålet. Volkswagen Group samler inn, lagrer, overfører og bruker personopplysninger utelukkende innenfor rammen av lovbestemmelsene og et eksisterende kontraktsforhold, legitime interesser eller uttrykkelig samtykke fra kunden, sier Laude.

Talsperson Nicolai Laude Foto: Volkswagen-konsernet

– Så det er mulig de ikke blir spurt om det?

– Ja. Men ingen informasjon som ble lekket er blitt brukt av andre enn Chaos Computer Club og Spiegel. Vi kjenner ikke til at andre uvedkommende har brukt dataene. Vi er ikke kjent med at informasjonen er misbrukt. Det er også grunnen til at vi ikke informerte kunder, ettersom det ikke har vært påført noen skade på noen kunder.

Sikkerhetsbristen som gjorde dataene tilgjengelige skal ha oppstått for halvannet år siden. Volkswagen ble først gjort oppmerksom på den 26. november i år, heter det i en pressemelding fra selskapet.

– Det er et langt tidsrom der andre uvedkommende kan ha fått tilgang til dataene. Hvordan vet dere at ikke andre har hatt tilgang og har misbrukt dataene?

– I henhold til den nåværende kunnskapen har ingen bortsett fra CCC hatt tilgang til systemene, og vi har ingen bevis for misbruk av data fra tredjeparter. CCC hadde ikke tilgang til kjøretøy på noe tidspunkt.

Diskuterer datainnsamling

Laude understreker at sikkerhetsekspertene og journalistene som analyserte lekkasjen måtte sette sammen informasjon fra ulike deler av dataene for å identifisere hvem som kjørte hvilken bil. Han sier dataene ikke matches slik av Volkswagen selv.

Laude ønsker ikke å svare på kritikken om at konsernet har satt tusenvis av enkeltpersoner, sikkerhetstjenestene og andre i fare.

– Vi kan ikke kommentere på andres synspunkter.

– Vil Volkswagen endre hvilke data som samles inn og lagres?

– Det vet jeg ikke. Det er en intern diskusjon i selskapet om hvordan vi skal håndtere dette og altfor tidlig å si hva som blir resultatet av de diskusjonene.

Datatilsynet: – Alvorlig

– Foreløpig kjenner vi kun denne saken via media. Dette ser ut som en alvorlig sak med mange berørte.Her er det snakk store mengder med personopplysninger som har ligget åpent ute med manglende tilgangsstyring, sier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet til VG.

– Vi regner med at det tyske Datatilsynet vil være ledende tilsynsmyndighet i denne saken. Vi kan foreløpig ikke si noe om hvordan personopplysninger til norske borgere, eller bileiere, eventuelt er berørt, men vi følger med, sier Stang Dahl.

– Utrolig talentløst

– Dette er sensitiv informasjon og utrolig talentløst. Hovedproblemet er kanskje at de i det hele tatt samler inn og lagrer den informasjonen i det hele tatt. Det skaper store sikkerhetsutfordinger i samfunnet når noen bygger slike store datareservoarer. Erfaringen tilser at de ikke klarer å beskytte det ordentlig, sier professor Kristian Gjøsteen ved Institutt for matematiske fag på NTNU til VG.

<-Professor Kristian Gjøsteen ved NTNU

Gjøsteen forsker blant annet på kryptering i skyløsninger og personvern. Han sier saken viser behovet for mer sikkerhet på pensum for dataingeniører.

– Europa forsøker regulere dette, USA i mindre grad og for eksempel Kina overhodet ikkee. Den pågående datarevolusjonen vår og kunstig intelligens er bygget på store mengder data, men vi bør spørre oss om vi egentlig ønsker at det samles inn slik, sier Gjøsteen.