evgo unauthorized charging session: reddit-brugers oplevelse
En reddit bruger med interesse i elbiler vågnede op til en besked: “Your EVgo charging session has started.” Problemet var, at bilen holdt parkeret i indkørslen, brugeren var hjemme, og der var ingen i nærheden af en EVgo-lader. Alligevel begyndte nogen at trække penge på brugerens konto, og brugeren kunne se omkring 125 kr. forsvinde live, mens vedkommende sad i telefonkø og ventede på kundeservice.
hvad skete der konkret
Brugeren rapporterede, at en fremmed havde startet en opladning via vedkommendes EVgo-konto og betalingsmetode. Kundeservice afbrød sessions og lovede refundering. Efterfølgende kom beskeden fra EVgo: “No refund. It was your Autocharge+ vehicle ID.” Brugerens bil stod stadig parkeret – situationen var tydeligvis ikke en fejl, som brugeren havde forårsaget.
Yderligere problemer, som reddit-brugeren nævnte, inkluderer:
- ingen to-faktor-autentificering (no two-factor authentication)
- ingen mulighed for at stoppe en aktiv session i appen
- ingen mulighed for at fjerne betalingsmetoden fra kontoen
- ingen forklaring på, hvordan en fremmed havde fået adgang eller spoofet Autocharge+ vehicle ID
- et afslag på at slette kontoen, da brugeren bad om det
fællesskabets reaktion og råd
Reddit-fællesskabet reagerede hurtigt. Flere reddit brugere med interesse i elbiler pegede på, at EVgo’s autocharge-implementering ikke er lige så sikker som plug-and-charge-standarden, og anbefalede kraftigt ikke at aktivere autocharge, før sikkerheden er dokumenteret.
De mest praktiske råd fra fællesskabet var:
- gem al korrespondance skriftligt og forbered et chargeback-krav via kreditkortudstederen
- nægt den specifikke opkrævning over for kortudstederen og bloker fremtidige betalinger fra EVgo
- fjern køretøjer fra Autocharge, hvis det er muligt – flere fortalte, at de havde gjort det efter lignende historier
- kontakt EVgo igen, og hvis kundeservice ikke hjælper, søg at eskalere sagen til højere niveauer eller tilsynsmyndigheder
En kommentar tydede også på, at spoofing af køretøjs-ID ikke er utænkeligt – brugere mindede om tidligere tilfælde, hvor folk havde efterlignet Teslas ID for at få gratis supercharging. Det rejser mistanke om, at samme type spoofing eller ID-forfalskning kan ligge bag en EVgo unauthorized charging session.
hvordan kan dette ske – teknisk forklaring
Der er et par plausibel forklaringer, som reddit brugere og sikkerhedstænkere peger på:
- spoofing af Autocharge+ vehicle ID – en angriber efterligner et kendt ID for at få laderen til at starte
- utilstrækkelig kontoautentificering – uden two-factor authentication er konti mere sårbare over for kompromittering
- manglende mulighed i appen for at afbryde sessioner eller fjerne betalingsmetoder gør det sværere for offeret at begrænse skaden
- svage interne procedurer i kundeservice kan føre til, at brugere får afvist legitime refunderinger
hvad kan påvirkede brugere gøre nu
Hvis en bruger oplever en EVgo unauthorized charging session, anbefales følgende trin:
1. dokumentér alt
gem notifikationer, skærmbilleder, telefonnumre, navne på kundeservicemedarbejdere og timestamps. Skriftlig dokumentation er afgørende ved reklamationer og chargebacks.
2. kontakt kortudstederen
anmod om at få den uautoriserede opkrævning nægtet/neutraliseret via chargeback. Flere reddit brugere anbefaler dette som første økonomiske forsvar.
3. forsøg at fjerne betalingsmetode eller slette konto skriftligt
hvis appen ikke tillader det, send en skriftlig anmodning til EVgo og kræv bekræftelse. Hvis EVgo nægter, gem kommunikationen og overvej at inddrage datatilsynet eller forbrugerklagenævnet.
4. deaktiver eller undgå autocharge
indtil der er klar dokumentation for sikkerheden i Autocharge+, fraråder flere reddit brugere at bruge denne funktion.
5. eskaler og del historien
del erfaringer i relevante fora og tag kontakt til højere ledelsesniveau i virksomheden, hvis den første kundeservice ikke hjælper. Flere tilbød endda i kommentarerne at hjælpe med at få sagen hørt internt.
hvad dette siger om sikkerhed i ladenetværk
Sagen er et eksempel på, at betalings- og identitetsflow i ladetjenester kan være en sårbarhed for hele økosystemet. Uden two-factor authentication og uden muligheder i appen for at stoppe sessioner eller fjerne betalingsmetoder, står brugerne relativt hjælpeløse, når noget går galt.
Udviklingen af ladeløsninger bør fokusere mere på sikkerhed og brugerkontrol – fra stærk kontoautentificering til klare procedurer for refundering og mulighed for account deletion. Diskussionen om infrastrukturens udfordringer kan ses i bredere perspektiv i branchedebatten om ladestationernes kapacitet og pålidelighed, som blandt andet diskuteres i artiklen Overfyldte ladestationer: Ladeinfrastrukturen halter bagud efter elbil-boom, og designvalg der løfter sikkerheden er også emner i artiklen Polestar revolutionerer elbiler: fra touchskærme til fysiske knapper for bedre sikkerhed og stil.
anbefalinger til evgo og andre leverandører
Reddit-fællesskabets klare forventninger til EVgo og lignende tjenester er:
- implementer two-factor authentication som standard
- giv brugerne mulighed for at stoppe en aktiv session direkte i appen
- giv brugerne mulighed for at fjerne betalingsmetoder og slette konti uden unødvendige forhindringer
- forbedr træningen af kundeservicemedarbejdere, så legitime sager kan håndteres empatisk og effektivt
- udred tekniske sårbarheder omkring Autocharge+ vehicle ID og offentliggør klare sikkerhedsopdateringer
afsluttende tanker
Historien om denne reddit bruger illustrerer en reel sikkerheds- og brugeroplevelsesudfordring i nutidens ladenetværk. Fællesskabet reagerede med praktiske råd og opfordringer til handling, men ansvaret ligger også hos leverandørerne. Indtil robust sikkerhed er dokumenteret, anbefaler mange i fællesskabet at undgå autocharge og at beskytte betalingsoplysninger proaktivt.
Har man oplevet noget lignende, er det vigtigt at dokumentere, anmelde og dele erfaringen – både for at få retfærdighed i den konkrete sag og for at sætte fokus på nødvendige sikkerhedsforbedringer i branchen.
