 Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz |
 |
|
 |
Whitebird
Foren Gott
Dabei seit: 31.03.2009
Beiträge: 2.782
Herkunft: Aus dem Nichts, Nordsee/Ecke Ossiland!!!
 |
|
 Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz |
     |
Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz
Update 27.12.2024 14:58 Uhr Andreas Frischholz
Beim Volkswagen-Konzern kam es zu einem großen Datenleck. Durch das standen unter anderem Hunderttausende Bewegungsdaten von Besitzern eines E-Autos offen im Netz. Neben VW sind auch Marken wie Audi, Seat und Skoda betroffen.
Von dem Datenleck berichtet der Spiegel. Das Magazin hatte zeitgleich mit dem Chaos Computer Club (CCC) einen Hinweis zu den Daten erhalten, die von der VW-Tochter Cariad gesammelt wurden. Diese ist für die Software-Entwicklung im VW-Konzern verantwortlich.
Insgesamt 800.000 E-Autos betroffen
Betroffen sind demnach Nutzer der Volkswagen-App, die Besitzer von Elektroautos wie dem VW ID.3 verwenden können, um das Auto vorzuheizen oder Informationen wie den Ladestand der Batterie ablesen zu können. Erfasst wurden aber auch jeweils die GPS-Daten, wenn das Auto abgestellt wird. Mit diesen Informationen ist es möglich, ein präzises Bewegungsprofil zu erstellen. Erkennen lässt sich so das Zuhause, der Arbeitsort sowie weitere Aktivitäten.
Zugänglich waren die Daten über einen Cloud-Speicher bei AWS, der laut dem Spiegel-Bericht weitestgehend ungeschützt im Netz stand. Betroffen waren insgesamt 800.000 E-Autos aus der ganzen Welt. Mit 300.000 stammen die meisten davon aus Deutschland, danach folgen Norwegen mit 80.000 und Schweden mit 68.000. Es handelt sich um mehrere Terabyte an Daten, die meisten davon stammen aus 2024, einige sind aber noch älter.
Bei 460.000 Autos waren präzise Standortdaten einsehbar, die das Erstellen von Bewegungsprofilen ermöglichten. Die VW-Modelle ID.3 und ID.4 sollen zu denen zählen, bei denen besonders detaillierte Daten erfasst worden sind.
Identifizieren lassen sich auch einzelne Personen. Im Spiegel-Bericht stehen dafür beispielhaft die Politiker Nadja Weippert und Markus Grübel. Neben Politikern befinden sich auch führende Kräfte aus der Wirtschaft in den Daten, betroffen sind zudem Sicherheitsbehörden. Dazu zählen etwa die 35 E-Autos der Hamburger Polizei sowie mutmaßlich auch Nachrichtendienstmitarbeiter.
Daten aus Cloud-Speicher bei AWS offen zugänglich
Eigentlich sollten solche Daten nicht öffentlich zugänglich sein. Cariad nutzte aber eine falsch konfigurierte AWS-Cloud. Dem Spiegel-Bericht zufolge war es zunächst möglich, durch systematisches Raten bestimmte Cariad-Internetseiten und deren Unterseiten zu entdecken, die externe Nutzer eigentlich nicht sehen sollten. Über diese Seiten konnte man dann auf Dateien zugreifen, darunter auch Speicherauszüge aus internen Cariad-Anwendungen. Wie brisant die Dateien sind, war laut Spiegel auf den ersten Blick erkennbar.
In dem Cloud-Speicher waren Daten aus mehreren Quellen zugänglich. Bei einer Datenbank wurden die einzelnen Fahrzeuge erfasst, gespeichert wurden Informationen wie der Batterieladestand, der Inspektionsstatus sowie die Position bei „Motor an“ und „Motor aus“. Diese Geodaten sind bei VW und Seat auf zehn Zentimeter genau, bei Audi und Skoda hingegen nur bis auf zehn Kilometer.
Eine weitere Datenquelle ist jedoch ein VW-Dienst, durch den Autobesitzer per App ein persönliches Profil anlegen können, das mit einem Auto verknüpft ist. Durch diese Daten war es möglich, Autos aus der ersten Datenbank einer Person zuzuordnen.
VW hat keine Hinweise auf Datenabfluss
Der Chaos Computer Club lobt derweil, wie Cariad auf Hinweise zur Lücke reagiert hat. Die VW-Tochter habe den Vorfall ernst genommen und die Sicherheitslücke mittlerweile geschlossen. Offiziell spricht Cariad nun von keiner Sicherheitslücke, sondern von einer Fehlkonfiguration. Betroffene müssten nicht reagieren, Passwörter oder Zahlungsdaten wären nicht betroffen. Es gebe bislang zudem keine Hinweise, dass irgendjemand – mit Ausnahme des CCC – auf die Daten zugegriffen hätte.
Ohnehin hätte der Zugang ein „hohes Maß an Fachwissen“ erfordert, so Cariad zum Spiegel. Laut der Analyse des Magazins war das aber nicht der Fall, die Hürden waren demnach niedrig. Tools, die Hacker oder IT-Sicherheitsforscher alltäglich nutzen, hätten ausgereicht, um die Sicherheitsmechanismen zu umgehen.
Für VW kommt der Vorfall so oder so zur Unzeit. Der Konzern steckt in der Krise, vor allem bei der Software-Entwicklung muss man aufholen. Solche Datenlecks schaden dem Ruf, um den es ohnehin nicht gut bestellt ist. Besonders pikant ist zudem, dass deutsche Anbieter vor allem im Vergleich zu amerikanischen Big-Tech-Konzernen gerne auf den Datenschutz verweisen. Nun zeigt nicht nur, dass auch VW enorme Datenmengen speichert. Sondern es auch Mängel bei der Sicherheit gibt.
Update 28.12.2024 14:06 Uhr
Auf dem Hacker-Kongress 38C3 gibt es ebenfalls einen Vortrag zu dem Datenleck bei VW. Die Aufzeichnung ist über die Medien-Seite des CCC abrufbar.
quelle: computerbase.de
__________________
Der frühe Vogel trinkt 'n Korn??? 
 Grüße von Whitebird
|
|
29.12.2024 13:19 |
|
|
 |
|
 |
|
|
|
Muad'Dib
.:.Carpe.Diem.:.
  
Dabei seit: 12.06.2007
Beiträge: 8.657
Herkunft: 51°N/11.5°E Jena/Thuringia
|
|
Da wird die Unfähigkeit von "Cariad" öffentlich und dann wollen sie das auch noch runterspielen.... Was für ein krimineller Sauladen!!
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
|
29.12.2024 20:38 |
|
|
|
|
|
|
|
|
Muad'Dib
.:.Carpe.Diem.:.
Dabei seit: 12.06.2007
Beiträge: 8.657
Herkunft: 51°N/11.5°E Jena/Thuringia
|
|
 38C3: Terabyte an Bewegungsdaten von VW-Elektroautos in der Cloud gefunden |
|
Die für die Softwareentwicklung von VW zuständige Tochterfirma hat Bewegungsdaten hunderttausender Elektroautos so gespeichert, dass ein Zugriff leicht war.
Ein Tochterunternehmen des Volkswagen-Konzerns hat teils extrem detaillierte Bewegungsdaten von 800.000 Elektroautos so in der Amazon-Cloud abgelegt, dass Nachrichtendienste, Konkurrenten, Kriminelle oder "gelangweilte Teenager" ohne große Schwierigkeiten darauf hätten zugreifen können. Das berichtet Der Spiegel unter Berufung auf eine Recherche in Zusammenarbeit mit dem Chaos Computer Club (CCC). Entdeckt hat die Daten demnach ein anonymer Hinweisgeber, überprüft wurden sie demnach unter anderem anhand der Daten einer niedersächsischen Landtagsabgeordneten und eines Bundestagsabgeordneten.
Daten zu Fahrzeugen mehrerer VW-Marken
Gesammelt wurden die Daten demnach von der VW-Tochter Cariad, die für die Softwareentwicklung des Autokonzerns zuständig ist. Wegen einer "Fehlkonfiguration" seien die Daten nicht ausreichend gesichert worden. Laut dem Spiegel handelt es sich um mehrere Terabyte an Standortdaten von Fahrzeugen der Marken VW, Seat, Audi und Skoda. Gesammelt hatte diese Daten die von der Volkswagen-App, über die verschiedene Informationen zum Zustand der Fahrzeuge abrufen lassen. Zu 460.000 Fahrzeugen seien die entdeckten Daten so präzise, dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zulassen. So seien die Geodaten bei VW- und Seat-Modellen auf zehn Zentimeter genau.
Laut der Recherche konnten die Daten teilweise mit persönlichen Profilen von Fahrzeughaltern und -halterinnen verknüpft werden. Teils hätten die detaillierten Bewegungsdaten gar mit Adressen und Handynummern zusammengeführt werden können. CCC-Sprecher Linus Neumann spricht von einem "riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag". Cariad habe erklärt, dass die Daten gesammelt worden seien, "um Batterien und die dazugehörige Software zu verbessern". Die beschriebene Zusammenführung sei niemals so vorgenommen worden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden".
Verhängnisvolle "Fehlkonfiguration"
Nachdem der CCC auf die zugängliche Datensammlung aufmerksam gemacht worden war, seien unter anderem Cariad und die VW-Konzernzentrale informiert worden. Die Konzerntochter habe binnen weniger Stunden reagiert und gar nicht erst versucht, das Ausmaß des Vorfalls kleinzureden. Mittlerweile sei die Lücke auch gestopft, auf die Daten könnten Unbefugte nicht mehr zugreifen. Bei der "Fehlkonfiguration" handelte es sich dem Bericht zufolge um die Kopie des jeweils aktuellen Speicherauszugs einer Anwendung von Cariad. Darin lagen die Zugangsdaten zum Cloudspeicher bei Amazon, wo sich die Bewegungsdaten befanden.
Mit den Daten hätten Unbefugte beispielsweise ermitteln können, welche Fahrzeuge regelmäßig vor Gebäuden des Geheimdiensts oder des US-Militärs parken und wem die gehören, erklärt der Spiegel noch. Auch hätte man damit herausfinden können, welche Autos etwa regelmäßig vor einem Bordell, einem Gefängnis oder Suchtkliniken halten und damit Erpressungsversuche in die Wege leiten können. Auch für Stalking wären die Daten enorm hilfreich gewesen. Laut Cariad gibt es aber nach aktuellem Kenntnisstand keine Hinweise darauf, dass außer dem CCC Dritte auf die Daten Zugriff hatten. Noch sei die Analyse aber nicht abgeschlossen.
(mho)
Quelle: heise.de
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
|
29.12.2024 20:52 |
|
|
|
|
|
|
|
|
Whitebird
Foren Gott
Dabei seit: 31.03.2009
Beiträge: 2.782
Herkunft: Aus dem Nichts, Nordsee/Ecke Ossiland!!!
Themenstarter 
|
|
und die manager-schmarotzer greifen trotzdem gelder ab, die ihnen nicht zustehen. 
__________________
Der frühe Vogel trinkt 'n Korn???
Grüße von Whitebird
|
|
|
31.12.2024 15:33 |
|
|
Muad'Dib
.:.Carpe.Diem.:.
Dabei seit: 12.06.2007
Beiträge: 8.657
Herkunft: 51°N/11.5°E Jena/Thuringia
|
|
Kleine Info am Rande:
Die deutschen Autobauer haben in den letzten 5 Jahren lausige 55 Milliarden € an ihre Gläubiger ausgeschüttet - und quasi wie auf Kommando sind alle vor ca. 2 Monaten angekrochen gekommen und haben losgejammert: Wir haben kein Geld................
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
|
01.01.2025 17:49 |
|
|
|
