Vad vi kan lära oss av Volkswagens megadataläcka

800 000 bilisters rörelsemönster har legat oskyddad på nätet i en enorm dataläcka. 68 000 av dem är svenskar. De har alla köpt en elbil från Volkswagen eller något av varumärkena koncernen äger: Audi, Seat och Skoda. Volkswagen har sedan rutinmässigt samlat in information om när bilarna startar och stannar – och exakt var de befinner sig när motorn stängs av. För majoriteten av de drabbade bilarna är felmarginalen bara tio centimeter.

Sådan information gör det enkelt att identifiera föraren. Står en bil utanför samma bostadshus varje natt och utanför samma arbetsplats nio till fem är det sällan svårt att lista ut vem den tillhör. Men för att få tillgång till en modern Volkswagens alla funktioner, som att slå på värmen på förhand, måste föraren dessutom ladda ner Volkswagens app och skapa en personlig profil. Även denna data fanns tillgänglig på internet.

Enligt Der Spiegel, som avslöjade dataläckan, var allt som behövdes för att hitta den ett systematiskt gissningsarbete och ett par gratis datorprogram som är standard för såväl it-säkerhetsexperter som hackare. Något lösenord krävdes inte.

Orsaken var en miss längre ner i leveranskedjan. Cariad, företaget som utvecklar Volkswagens it-plattform för elbilar, gjorde ett misstag förra sommaren – och eftersom ingen märkte det gjorde ingen något åt det.

Volkswagen försvarar sig med att även om informationen har varit oskyddad har det varit besvärligt att komma åt den. Problemet är att det finns gott om aktörer som skulle vara beredda att göra sig besväret.

Bland de drabbade hittade Der Spiegel politiker, företagsledare och personer som att döma av var de parkerar under arbetstid arbetar i den tyska säkerhetstjänsten. En av politikerna, Nadja Weippert som representerar Die Grüne i Niedersachsens delstatsparlament, berättar att hon har varit utsatt för hot. I Volkswagens dataläcka har det inte bara gått att se var hon bor och arbetar, utan var hon tränar, vilket bageri hon gillar att besöka och var hennes sjukgymnast har kontor. ”Jag är chockerad”, säger hon.

Kunskap om människors rörelsemönster är inte bara intressant för dem som hyser agg mot offentliga personer. Den kan också användas för skräddarsydda phishing-attacker eller för att utpressa människor som parkerar utanför en beroendeklinik, ett fängelse eller en bordell. Kunskap om var de 35 elbilarna i Hamburgs polis fordonsflotta befinner sig utgör en uppenbar säkerhetsrisk. Och som om det inte vore nog inkluderade dataläckan även bilar i Ukraina och Israel; beroende på vem de tillhör kan informationen till och med ha varit av militärt intresse.

Den här gången gick det bra. En visselblåsare kontaktade den etiska hackergruppen Chaos Computer Club som i sin tur kontaktade Cariad, som reparerade skadan. Det finns inga synliga tecken på att någon illasinnad aktör skulle ha kommit över informationen den här gången. Men riskerna kvarstår.

– Problemet är att när du väl samlar in data kommer den förr eller senare att läcka, säger Jan Jonsson, vd för Mullvad VPN som säljer kryptering av internettrafik.

Och i bilvärlden är omfattande datainsamling normen. När Mozilla Foundation, mest känd för webbläsaren Firefox, undersökte 25 bilmärken visade sig samtliga samla in mer information än vad som behövs för att bilen ska fungera. I de flesta fallen behövdes inte en teknisk miss för att datan skulle spridas – bilmärkena förklarade i sina ”privacy statements” att de kan komma att sälja förarnas personliga information till utomstående. Inte bara var de parkerar, utan deras etnicitet, religiösa tillhörighet, surfhistorik och biometriska data, bland mycket annat. För datamäklare, som paketerar och säljer den sortens information till marknadsförare eller politiska påverkansorganisationer, är det en potentiell guldgruva.

– Man brukar ju säga att om du inte betalar för produkten är det du som är produkten. Men om produkten kostar en miljon borde jag som kund inte vara produkten, säger Jonsson.

Enligt honom är en central del av problemet att användare och kunder inte inser vad som händer med deras data. En del information förstår man intuitivt poängen med, som att uppge sin adress när man beställer något på nätet. Men som internet är uppbyggt – inte minst det internet of things som moderna bilar ingår i – sker större delen av informationsinhämtningen utan att kunden har någon nytta av det, ofta utan att kunden över huvud taget vet om det.

Ur det perspektivet framstår EU:s nya dataförordning, som trädde i kraft för ett år sedan och blir tillämplig 12 september i år, som ett steg i rätt riktning. Bland annat fastslår den att medborgarna ska få tillgång till den data de genererar. Men syftet är inte att låta dem begränsa hur informationen används. Tvärtom: EU vill i första hand göra data mer lättillgänglig för företag. ”EU måste ta vara på potentialen hos data”, som det står i riktlinjerna för EU-kommissionens arbete 2024–2029, vilket innebär att göra det lättare för företag att ”dela data på ett smidigt sätt och i stor skala”.

– Konsekvensen kommer antagligen bli att mer data delas oftare. Jag hade hellre sett att man lagstiftar om vilken data man får samla in från början, och hur länge man får behålla den, säger Jonsson.

***

Läs även: Så ger den gröna omställningen Kina makt över Sverige

Läs även: Cyberhotet mot Sverige är ett faktum – så försvarar vi oss