Dados de clientes da Volkswagen e da Audi ficaram expostos por 20 anos na Alemanha. É o que constatou a investigação de um blog automotivo e que foi confirmada pelas montadoras.
A vulnerabilidade ocorreu no EVA, o “Elektronischer Verkäuferarbeitsplatz”, ou Estação de Trabalho de Vendas Eletrônicas, um software que roda no Windows das concessionárias. O aplicativo acessa o banco de dados Oracle nas lojas, e nesse meio caminho os dados e senhas dos clientes acabaram ficando vulneráveis.
O leitor do blog alemão alertou o editor, que foi atrás da informação. Ele relatou o problema para a equipe de segurança cibernética do grupo Volkswagen, que confirmou o problema e que estava corrigindo-o.
A VW se comprometeu a atualizar o software EVA para remover senhas codificadas e criptografar todas as senhas de usuários previamente armazenadas. Em março deste ano, as mudanças estavam em andamento e, em meados de abril, as atualizações de software foram concluídas em todas as concessionárias afetadas.
Todos os usuários foram obrigados a trocar senhas para continuar acessando o serviço. Segundo a montadora, o sistema já opera de forma segura, após ficar vulnerável desde 2004. A empresa não informou o número de usuários nem quantos acabaram afetados.