Ricercatori di Kasada hanno scoperto che i dati di circa 15.000 persone sono in vendita online, e provengono tutti dai server di tre marchi automobilistici. Se il commercio di dati è (purtroppo) un fatto comune, in questo caso è nuovo il fatto che ora ci sono anche i dati dell’auto.
I nomi delle aziende coinvolti non sono stati rivelati, ma la fonte specifica che circa due terzi degli account in questione "riguardavano un unico grande produttore automobilistico europeo, con automobilisti e veicoli residenti negli Stati Uniti".
I dati stanno circolando via gruppi chiuso Telegram, affermano i ricercatori, e sono in vendita per circa 2 dollari l’uno. Il pacchetto include anche il codice VIN, che è utile per identificare univocamente il veicolo. In teoria, dunque, è possibile creare profili personali di potenziali vittime, andando a includere anche l’automobile.
Inoltre, continuano i ricercatori, il codice VIN si può usare per creare patenti fittizie o per falsificare quelle esistenti, e poi questi documenti possono servire nella compravendita di auto rubate. Si possono attivare finanziamenti per l’acquisto di automobili, e in alcuni casi potrebbe persino essere possibile accedere ad applicazioni riservate e sbloccare il veicolo.
Inoltre c’è l’eterno problema delle password: visto che tantissime persone tendono a usare sempre le stesse password, oppure a usarne di simili, una volta che se ne ottiene una è molto facile provarla (insieme all’email a cui è associata) anche altrove. Ed è molto probabile che prima o poi si riesca a entrare da qualche parte. Per stare più tranquilli è consigliabile usare un buon password manager, così da avere password tutte diverse e ben fatte.
Vale la pena sottolineare che di recente la fondazione Mozilla ha pubblicato una colossale inchiesta dove si dimostra che le automobili non tutelano adeguatamente la privacy dei dati. Una ricerca che riguarda gli Stati Uniti ma che dovrebbe impensierire almeno un po’ anche chi vive sotto la (migliore) protezione del GDPR.