Cybergang behauptet Datenklau bei Volkswagen

Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
77.753
Eben bei Heise gefunden:
www.heise.de

Cybergang behauptet Datenklau bei Volkswagen

Die Cyberbande StormouS/V4 behauptet, bei VW vertrauliche Daten erbeutet zu haben. Der Konzern prüft und sieht derzeit keine Hinweise für einen Angriff.
www.heise.de www.heise.de

Auf dem Darknet-Auftritt der Cybergang "StourmouS/V4" behaupten die Unbekannten, Nutzerkontendaten (teils versteckte E-Mails) sowie Authentifzierungstoken (OAuth und JWT-Tokens) erbeutet zu haben, darunter Identitäts- und Zugangsinformationen wie E-Mail, Profil oder Telefonnummern. Auch Log-in-Links für interne Systeme (etwa https://identity.vwgroup.io), Session-Cookies (jsessionid und weitere) sowie Authentifizierungs- und Zugriffskontroll-Details wollen die Täter erbeutet haben.
Zum Vergrößern anklicken....

Das betrifft auch das Konto, über das das Kartenmaterial für das Navi heruntergeladen werden kann.

Schon im Mai gab es eine mögliche Sicherheitslücke, die ein indischer IT-Sicherheitsforscher in der VW-App gefunden haben will.
 
Zuletzt bearbeitet:
www.ccc.de

CCC | Wir wissen, wo dein Auto steht

Der Chaos Computer Club ist eine galaktische Gemeinschaft von Lebewesen für Informationsfreiheit und Technikfolgenabschätzung.
www.ccc.de

Die Daten, einschließlich Informationen über Fahrzeughalter:innen, waren zudem ungeschützt im Internet zugänglich.
Zum Vergrößern anklicken....

kein Kommentar

Mit dem Einzug "smarter" Technik in alle Lebensbereiche haben sich die Risiken dieser Technik und des PC halt auch auf diese übertragen. Das ist ja nicht nur beim goldenen Kalb Automobil so, sondern auch in anderen Bereichen wie ePA usw. Software wird per se immer fehleranfällig sein und sich in entsprechenden Umfeldern dementsprechend aushebeln lassen.

Die Probleme dabei sind eher:

- wenn Lücken bekannt und trotzdem nicht gefixt werden
- wenn Lücken bewusst enthalten sind, sei es als Notnagel oder für andere Zwecke
- wenn solche Dinge von Haus aus schlampig aufgebaut sind
- wenn "Features" enthalten sind, die nicht nötig wären und über Kanäle laufen, die auch nicht nötig wären
- dass im Vergleich zu den analogen Datensätzen jetzt bei einem Ausnutzen von Lücken u.U. Zugriff auf enorme Mengen persönlicher Daten besteht

Das ist m.E. auch kein spezifisches VW-Problem, die Botschaft verkauft sich dann halt nur besser als bei einer No-Name-Firma.
 
fakiauso schrieb:
Mit dem Einzug "smarter" Technik in alle Lebensbereiche haben sich die Risiken dieser Technik und des PC halt auch auf diese übertragen. Das ist ja nicht nur beim goldenen Kalb Automobil so,
Zum Vergrößern anklicken....
... aber hier besonders sichtbar, weil hier zwei Produkte mit sehr unterschiedlichen Lebenszyklen aufeinandertreffen.
Ein Autoleben ist wie lang? 15-20 Jahre? Ein typisches IoT-Gerät lebt 2 Jahre, vielleicht 5, bis der Hersteller den Support einstellt.
Wenn ich nun das eine Gerät in das Andere einbaue, dann fahre ich nach wenigen Jahren einen Zombie spazieren. Offenbar stört sich aber kaum ein Kunde daran, also warum sollten die Hersteller ich um das Problem kümmern?

fakiauso schrieb:
ePA
Zum Vergrößern anklicken....
Wenn ich dazu meine Meinung schreibe, dann muss @Mornsgrans ganz hektisch Knöpfe drücken. ;)
 
fakiauso schrieb:
die Botschaft verkauft sich dann halt nur besser als bei einer No-Name-Firma.
Zum Vergrößern anklicken....
wie z.B. Tesla ;)

Aber das "schöne" an den Lücken ist ja, dass sie teilweise schon seit fast 10 Jahren bekannt sind.

hikaru schrieb:
Wenn ich dazu meine Meinung schreibe, dann muss @Mornsgrans ganz hektisch Knöpfe drücken.
Zum Vergrößern anklicken....
Einfach bei Heise nach den aktuellsten Artikeln zum Thema ePA suchen und fassungslos den Kopf schütteln...

Ach, war das so schön, als es nur ein EPa gab. :cool:
 
Wundert mich nicht,
hab im April versucht mein VW Connect zu aktivieren …
Dabei gabs Probleme und ich hatte 3-4 URL‘s geringfügig geändert.

Diese URL‘s waren von Dienstleistern oder VW Partner Unternehmen.

Dabei hab ich dann ich Tomcat default Webseiten erhalten.

Hab’s aber nicht gemeldet, sonst bin ja gleich der Pöse Pursche…
 
Solange die Daten in EU sind..... ;)

Ich bin immer krass erstaunt wenn ich beim Leihwagen aus dem VAG-Konzern die Ausleihe beende / Karre absperre - logisch per App am Smartfone - ich wenige Augenblicke die Rechnung samt gefahrener Kilometer im Maileingang habe. Flinkster macht seinem Namen alle Ehre ;-)

Dass es da irgendwann mal knallt ist auch nur eine Frage der Zeit.

Leider ist Datenschutz nur solange Sexy er nichts kostet.
 
juergentp42 schrieb:
Hab’s aber nicht gemeldet, sonst bin ja gleich der Pöse Pursche…
Zum Vergrößern anklicken....
Die Sorgen kann ich grundsätzlich verstehen. In solchen Fällen würde ich mal der c't schreiben, anbei ein Auszug mit Kontakten am Ende eines gut abgehangenen Artikels zum Thema reponsible disclosure:
Als Anlaufstelle kann der Redakteur des Vertrauens, die Mailadresse der heise-Security-Redaktion (red@heisec.de) oder ganz anonym der Online-Briefkasten des heise-Investigativ-Teams dienen.
Zum Vergrößern anklicken....
Viele Grüße
tuxpad
 
fakiauso schrieb:
Mit dem Einzug "smarter" Technik in alle Lebensbereiche haben sich die Risiken dieser Technik und des PC halt auch auf diese übertragen.
Zum Vergrößern anklicken....
Darum sitze ich das Smartgedöns bewußt aus. Für mich ist peak smart die Kühlschrankleuchte. Geht an, wenn man die Tür aufmacht, und wieder aus, wenn man sie schließt. Mehr "smart" brauche ich nicht.

Mornsgrans schrieb:
Ach, war das so schön, als es nur ein EPa gab. :cool:
Zum Vergrößern anklicken....
Jau, und die Kekse waren kugelsicher.
 
Man könnte sogar behaupten, das waren die Dinger, mit denen der Sahara der Sand entzogen wurde.
 
Wie gut, dass mein E-Up von VW offline geschaltet wurde und ich ihn nicht mal mehr vorklimatisieren kann per App. Dank Richtlinie.
Von mir gibts also keine nutzbaren Daten.

VW FS ist vermutlich nicht betroffen?
 
Ist eine andere Domain, aber sicher ist sicher, zumal man nicht weiß, inwieweit Daten des einen auf dem anderen System liegen.
 
fakiauso schrieb:
www.ccc.de

CCC | Wir wissen, wo dein Auto steht

Der Chaos Computer Club ist eine galaktische Gemeinschaft von Lebewesen für Informationsfreiheit und Technikfolgenabschätzung.
www.ccc.de
Zum Vergrößern anklicken....
Man sollte zum "Smart"-Phone/Service eigentlich eine Produktwarnung anhängen. So nach dem Motto, das ich etwas flapsig in den 90ern bei einer Mobilfunkdiskussion anbrachte:

Alles, was via Funk geht, kann jeder abhören. Was via Kabel läuft hört nur die NSA ab.

Da Speicherung sehr billig geworden ist, kann jedermann anstatt Briefmarken und Kronenkorken auch Smart-Daten sammeln. In der Sommerflaute dürfen dann auch wie beim Angler-Latein die "größten Geheimsachen" auch mal erfunden werden. Regt das Publikum auf und erhöht die Auflage/Klicks. Wer sich auf "Verschlüsselung" beruft, sollte ab und an mal überprüfen, wer den Schlüssel hat. :)

Gruß Peter
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben