Potencijalno veliki sigurnosni skandal otkriven je u Njemačkoj, a za otkriće je zaslužna najveće evropsko udruženje hakera i haktivista Chaos Computer Club (CCC). Oni su objavili kratki tekst pod nazivom "Znamo gdje vam je auto", u kojem iznose činjenice o velikom sigurnosnom propustu Volkswagen Grupe (kao da ona već nije u dovoljnim problemima). Naime, prema tvrdnjama hakera, koje je u detalje proučio i objavio njemački Der Spiegel, grupacija prati lokacije oko 800.000 električnih vozila svojih marki Volkswagen, Audi, Škoda i Seat te podatke o njihovim kretanjima dugotrajno pohranjuje.
Podaci o lokacijama daju VW-u vrlo detaljne statistike o kretanju vlasnika vozila, njihovim privatnim navikama i mnogo pojedinosti, za koje baš i nije dobro da budu dostupni svakome – a navodno su bili. Grupa CCC otkrila je i da su neka od tako praćenih vozila u sastavu velikih kompanijskih flota, pa čak i policija diljem Evrope, vojnih snaga i obavještajnih agencija.
Lokacijske podatke prikuplja Volkswagenova podružnica Cariad, koja ih je slučajno ostavila otvorenima, odnosno lako dostupnima putem interneta, bez zaštite, pohranjene u Amazonovom oblaku. CCC je o otkriću obavijestio Cariad, pa je ubrzo propust zakrpan, a iz firme kažu da nije došlo ni do kakve zloupotrebe podataka. Uzrok neželjenom izlaganju privatnih i osjetljivih podataka navodno je pogrešna konfiguracija u sistemima.
Der Spiegelovi stručnjaci uspjeli su rekreirati napad prema navodima hakera, izvući podatke te izraditi čak i statistike o kretanjima vozila. "Sve je bilo dostupno, trebalo je samo znati kamo gledati", kažu. Navodno je trebalo tek pronaći određene Cariadove web stranice i njihove podstranice sistemskim pogađanjem, čak i ako su neke od njih nevidljive normalnim korisnicima. To bi otvorilo put do datoteka čije su ekstenzije upućivale da bi mogle sadržavati osjetljivi sadržaj. Jedan od tih puteva vodio je do kopije trenutnog ispisa (dumpa) memorije interne Cariadove aplikacije.
Istraživač Linus Neumann iz grupe CCC opisao je propust kao "velik snop ključeva skriven ispod premalenog otirača". Najpogođenija je, očekivano, Njemačka, gdje su bili izloženi podaci o oko 300 hiljada vozila. Precizni GPS podaci navodno su uključivali ukupno oko 460.000 vozila. Iz Volkswagena se nakon ovog otkrića nisu službeno oglasili. O svemu su obaviješteni i regulatori koji brinu o provedbi GDPR-a i zaštiti osobnih podataka u Njemačkoj, tamošnje Ministarstvo unutrašnjih poslova i ostali nadležni.
