תחקיר מקיף של המגזין הגרמני "שפיגל" חשף פרצת אבטחה משמעותית במערכות פולקסווגן, שחשפה מידע אישי ורגיש של למעלה מ-800,000 בעלי רכבים חשמליים. הדליפה, שהתגלתה השנה, כללה נתוני GPS מדויקים ופרטים מזהים של הבעלים.
במרכז הפרשה עומדת חברת Cariad, האחראית על פיתוח אפליקציית השליטה מרחוק של פולקסווגן. האפליקציה, בדומה ליישומים דומים בתעשיית הרכב, מאפשרת לבעלי רכב לשלוט במגוון פונקציות ברכבם באמצעות הטלפון הנייד. המידע שנאסף כולל היסטוריית נסיעות, מיקומי חניה, ומשך השהייה בכל מיקום.
לפי הדיווח, Cariad השאירה את המידע חשוף בשירותי הענן של אמזון. חוקרי "שפיגל" איתרו "מספר טרה-בייטים" של מידע רגיש. הגישה למערכת, על פי הדיווח, לא הייתה מאובטחת דיה והייתה נגישה לגורמים שונים, כולל שירותי מודיעין, מתחרים עסקיים, עבריינים, ואפילו "מתבגרים משועממים".
הדליפה משפיעה על בעלי רכבים מכל המותגים בקבוצת פולקסווגן: פולקסווגן עצמה, סיאט, אודי וסקודה. בעוד שידוע כי האירוע משפיע על בעלי רכב ברחבי אירופה, טרם הובהר אם גם לקוחות במקומות נוספים נפגעו.
נדיה וייפרט, ראש העיר טוסטדט בגרמניה, שגילתה כי נתוניה האישיים נחשפו, הביעה זעזוע עמוק: "זה בלתי נתפס שהמידע האישי שלי מאוחסן ללא הצפנה ברמה גבוה בענן של אמזון, וגרוע מכך - אפילו ללא אבטחה בסיסית".
בתגובה לחשיפה, Cariad הודיעה כי סגרה את פרצת האבטחה ברגע שהתגלתה. חברת אבטחת מידע שבדקה את המקרה אישרה כי תגובת החברה הייתה מהירה, יסודית ואחראית. החברה הוסיפה כי לא נמצאו עדויות לניצול לרעה של המידע שנחשף.
הפרשה מעלה שאלות מהותיות לגבי היקף המידע האישי שיצרניות רכב אוספות ומאחסנות. בעוד שהחברות טוענות כי המידע חיוני לתפעול הרכבים המחוברים, מבקרים טוענים כי היקף האיסוף חורג מהנדרש. לדוגמה, נטען כי אין הצדקה לתיעוד מהירות הנסיעה בין נקודות שונות כאשר כל שנדרש הוא היכולת לשחרר את נעילת הרכב דרך האינטרנט.