Il 2025 si è aperto con il caso Volkswagen e i dati di localizzazione di 800.000 automobili elettriche. Una notizia che ha suscitato clamore, a nostro avviso però per i motivi sbagliati.
Non si tratta soltanto di individuare le falle e gli errori all’origine del problema, è più attuale calarsi completamente in simili scenari per comprendere quanto siano potenzialmente frequenti e quanto, di conseguenza, sia opportuno abituarcisi.
È anche necessario capire se è doveroso – almeno dal punto di vista dell’onestà intellettuale – ammettere che i criminal hacker sono e saranno sempre un passo avanti rispetto a chi si occupa di difesa. Questo consente di non abbassare mai la guardia, anche quando si fa uso a titolo privato di dispositivi connessi alla rete.
Indice degli argomenti
Il caso Volkswagen
Rifacendoci alla cronaca recente, una configurazione Cloud sbagliata ha permesso di accedere ai dati di localizzazione di 800.000 vetture elettriche Volkswagen, Audi, Skoda e Seat (tutti brand del medesimo marchio).
Il media tedesco Der Spiegel ha parlato dell’accaduto il 27 dicembre del 2024, dopo avere avvisato il gruppo tedesco e avergli dato il tempo di rimediare al pasticcio. L’articolo intitolato “Wir wissen, wo dein Auto steht” (Sappiamo dove si trova la tua auto) è stato ripreso dagli organi di informazione di tutto il mondo e ha destato clamore e preoccupazione.
Dalle ricostruzioni fatte, risulta che Cariad – azienda del gruppo Volkswagen deputata a gestire le app e i dati che queste raccolgono – abbia configurato in modo perfettibile i permessi di accesso ai dati di localizzazione rendendoli di fatto accessibili a terzi.
Der Spiegel, raccogliendo una segnalazione anonima, ha indagato con il Chaos Computer Club (la principale associazione europea di hacker) fino a riuscire a ricostruire con estrema precisione gli spostamenti dei clienti tra i quali figurano anche politici, imprenditori e altre persone di spicco.
Volkswagen si è apprestata a comunicare di avere risolto il problema. Il punto è che simili leggerezze non si dovrebbero verificare: la gravità è rappresentata proprio dalla svista madornale di Cariad.
Tra le conseguenze dirette di questo errore, oltre a ricostruire le posizioni delle automobili in modo preciso (si parla di approssimazioni di dieci centimetri), in diversi casi è stato possibile anche associare il veicolo al nome del proprietario.
La leggerezza con cui sono stati trattati i dati
I ricercatori del Chaos Computer Club hanno individuato alcuni file a riposo completamente in chiaro (quindi non crittografati) e non protetti da password. File relativi ad alcune applicazioni sviluppate da Cariad e, non di meno, anche ai dati di accesso alle risorse cloud nelle quali erano conservati i dati di localizzazione delle vetture.
A titolo di esempio, Der Spiegel ha ricostruito gli spostamenti di due esponenti politici tedeschi, Nadja Weippert e Markus Grübel, rispettivamente sindaca di Testedt e parlamentare al Bundestag (il parlamento federale) mostrando come, risalendo ai luoghi raggiunti da una persona, si possano evincere altre informazioni private quali le sue frequentazioni o le abitudini.
La questione fondamentale
Abbiamo chiesto all’esperto e socio Clusit Salvatore Lombardo di soffermarsi sulle considerazioni che questo episodio induce a fare, in particolar modo sullo stato reale della security e del comportamento che dovrebbero adottare i singoli utenti, dal momento che molte realtà aziendali dimostrano di non essere solerti nel garantire la sicurezza dei dati che raccolgono e conservano.
Per dire le cose con chiarezza, gli errori compiuti da Cariad sono marchiani e inaccettabili.
La prima riflessione riguarda la necessità di prendere coscienza del fatto che dovremo abituarci a situazioni simili: aziende (più o meno grandi) che falliscono clamorosamente nel proteggere i dati.
“Purtroppo, con l’aumento della digitalizzazione e della connettività, è probabile che vedremo sempre più incidenti di questo tipo in futuro. Le grandi aziende, nonostante le loro risorse, possono commettere errori nella configurazione e gestione dei dati, come è successo con Volkswagen, a causa dell’aumento della complessità dei sistemi e della quantità di dati raccolti oltre ad essere esposti all’evoluzione delle minacce informatiche. Tuttavia, alcune misure potrebbero essere adottate per mitigare questi rischi con una combinazione di consapevolezza della sicurezza, formazione del personale, miglioramento delle pratiche di sicurezza, della trasparenza e della responsabilità”, spiega Salvatore Lombardo.
Parallelamente, occorre ammettere che il divario tra criminal hacker e cyber difesa cresce senza sosta. Questo aspetto deve essere tenuto in conto dai singoli individui sia quando usano dispositivi per scopi professionali sia quando ne fanno uso per finalità private. I cyber criminali sono sempre un passo avanti.
“Ammettere la realtà della situazione potrebbe effettivamente portare a una maggiore consapevolezza e attenzione da parte delle persone. I criminal hacker spesso sono un passo avanti rispetto alle misure di difesa, e riconoscere questo fatto potrebbe aiutare a promuovere una cultura della sicurezza più robusta. Tuttavia, è anche importante che le aziende continuino a migliorare le loro difese e a investire in sicurezza informatica”, continua Salvatore Lombardo.
Se i singoli devono fare il loro partendo dal presupposto che le imprese di cui si servono o alle quali si appoggiano potrebbero essere violate, è anche opportuno che le imprese si dimostrino più serie nell’affrontare i problemi della cyber security: “Si auspica comunque che incidenti come quello di Volkswagen servano da lezione per migliorare la sicurezza dei dati in futuro”, conclude l’esperto.
