I en detaljeret artikel på Medium.com beskriver en sikkerhedsekspert, hvordan han i 2024 købte en brugt Volkswagen og ville knytte bilen til Volkswagens app på sin mobil. App’en krævede både bilens stelnummer og en firecifret engangskode. Men koden blev sendt til den tidligere ejers mobil, og så var gode råd dyre.
Efter forgæves forsøg på at kontakte den tidligere ejer, bemærkede artiklens forfatter, som på Medium.com kun giver sig til kende under brugernavnet ‘LoopSec’, at app’en ikke begrænsede antallet af indtastningsforsøg for den firecifrede kode. Det gav ham blod på tanden, og ved hjælp af et simpelt script kunne han systematisk afprøve alle 10.000 mulige kombinationer. Og bingo, efter kort tid fandt hans lille program den rigtige kode og han kunne se sin bil i app’en.
Men så nemt burde det ikke være, og derfor begyndte LoopSec, at gå Volkswagens app efter i sømmene, skriver han i sin artikel, der efterfølgende beskriver de tre mest alvorlige sikkerhedsproblemer i Volkswagens systemer, som han opdagede i processen:
- Interne legitimationsoplysninger blev eksponeret i klartekst, herunder adgangskoder, tokens og brugernavne til interne systemer, betalingsbehandlingsdetaljer og CRM-værktøjer som Salesforce (!).
- Bilejeres personlige oplysninger var tilgængelige via stelnummeret alene, herunder navne, telefonnumre, postadresser, e-mailadresser og biloplysninger. Og stelnummeret kan enhver altså læse gennem bilens forrude.
- Køretøjers servicehistorik var også åbent tilgængelig via stelnummeret, inklusive detaljer om arbejde udført under værkstedsbesøg, kundens personlige oplysninger og endda kundeundersøgelsesresultater.
Omfattende adgang til følsomme data
I praksis betød sikkerhedshullerne, at enhver person med kendskab til en bils stelnummer kunne:
- Tilføje køretøjet til sin egen app
- Få adgang til bilens position i realtid
- Se motorstatus, brændstofdata og dæktryk
- Få adgang til geofencing-kontrol og andre funktioner
- Indhente ejerens personlige oplysninger som hjemmeadresse, telefonnummer og e-mail
- Se bilens fulde servicehistorik og tidligere klager
Forestil dig stalkere eller kriminelle bevæbnet med disse data. De kunne nemt bestemme din realtidsposition, din hjemmeadresse, de steder, du besøger hyppigt, dit telefonnummer, e-mailadresse – listen er endeløs,” advarer LoopSec.
Det tog fem måneder at finde en løsning
Han rapporterede sårbarhederne til Volkswagens sikkerhedsteam den 23. november 2024. Efter at have fundet den korrekte kontakt via Volkswagens security.txt-fil, modtog han en bekræftelse fire dage senere.
Over de næste tre måneder udvekslede de flere opfølgende e-mails, hvor Volkswagens sikkerhedsteam ifølge LoopSec forblev meget lydhøre gennem hele processen.
Den 3. april 2025 foreslog teamet en fortrolighedsaftale (NDA), som tillod dem at dele tekniske detaljer og interne afhjælpningsplaner. Den 6. maj 2025 modtog vores sikkerhedsekspert så bekræftelse på, at sårbarhederne var blevet udbedret.
Det er bare langtfra første gang, Volkswagen-koncernen oplever alvorlige sikkerhedsbrud. I slutningen af 2024 blev det afsløret, at der var en nem adgangsvej via Bluetooth til Skoda-modellers onboard-computer.
Endnu mere alarmerende var en massiv datalækage (fundet af den tyske hackergruppe Chaos Computer Club) fra Volkswagens software-datterselskab Cariad tidligere i år, hvor personlige data fra omkring 600.000 brugere blev eksponeret, og hele 9,5 TB telemetridata fra 800.000 køretøjer med præcise GPS-koordinater blev lækket.
Kia og Tesla har haft lignende problemer
Sikkerhedsproblemer i bilers digitale systemer er ikke isoleret til Volkswagen-koncernen:
Hyundai og Kia oplevede tidligere sårbarheder, hvor sikkerhedsforskere påviste, at biler kunne “fjernstyres” gennem simple web-hacks.
Og Tesla har oplevet, at forskere fik adgang til Autopilot-systemets software og kunne kompromittere infotainmentsystemet via bilens LTE-forbindelseskort.
Sådan beskytter du dig som Volkswagen-ejer
Selvom Volkswagen nu har udbedret de specifikke sårbarheder i deres systemer, anbefaler LoopSec, at VW-ejere, dækker bilens stelnummer til, når bilen parkeres offentligt samt holder deres app opdateret med de seneste sikkerhedsopdateringer.
Det er også altid en god ide at være opmærksom på mistænkelige henvendelser fra personer, der påstår at være fra forhandleren eller forsikringsselskabet.
Volkswagen har ikke kommenteret på, om der vil være øvrige konsekvenser af sikkerhedshullerne, eller hvordan de vil sikre bedre beskyttelse af kundernes data fremover ud over de konkrete fejlrettelser.