Schwache Daten von VW enthüllten die Standorte von fast 800.000 Elektrofahrzeugen

Eine Sicherheitslücke von Cariad hat monatelang die Standortdaten von 800.000 Elektroautos des VW-Konzerns in Europa online gestellt.

Der Whistleblower informierte die deutsche Zeitung Spiegel und die European Hacker Association über die Sicherheitslücke, die die Daten mit anderen personenbezogenen Daten, darunter dem Vor- und Nachnamen des Eigentümers, verknüpfte. Die Sicherheitslücke ermöglichte es der oben genannten Veröffentlichung, den Aufenthaltsort zweier deutscher Politiker mit alarmierender Genauigkeit zu ermitteln.

Den Angaben zufolge war das Mitglied des Deutschen Verteidigungsausschusses im Altersheim seines Vaters und auf Besuch in der Kaserne anzutreffen. Spiegel stellte auch die namentlich nicht genannte Bürgermeisterin vor, während ihr Auto ihre Bewegungen vom Rathaus zu ihrem Physiotherapeuten aufzeichnete.

Auf Basis der genannten Sicherheitslücke fand der Spiegel Daten zu Fahrzeugen der Marken Volkswagen, Audi, SEAT und Škoda sowie besonders detaillierte Daten zu den Besitzern der VW-Autos ID.3 und ID.4. Der Veröffentlichung zufolge entdeckten sie mehrere Terabyte an Daten, auf die im Cloud-Speicher von Amazon zugegriffen werden konnte, darunter der genaue Standort von bis zu 460.000 Fahrzeugen.

Anhand dieser Daten könnten wir Rückschlüsse auf das Leben der Besitzer dieser Fahrzeuge ziehen. Sie fanden Hinweise auf 35 Elektroautos im Fuhrpark der Hamburger Polizei, anderer Politiker, Unternehmer und sogar Mitarbeiter des Bundesnachrichtendienstes.

Die Hackergruppe Chaos Computer Club informierte Cariad über die Sicherheitslücke, die sie schnell behebte. Cariad sagte dem Spiegel, es handele sich um eine „Fehlkonfiguration“.

Das Unternehmen aggregiert keine Daten, die es jemandem ermöglichen würden, ein Profil über eine Person zu erstellen. Nach Angaben des Unternehmens mussten die Forscher verschiedene Datensätze kombinieren, indem sie „mehrere Sicherheitsmechanismen umgingen“. Sie gab außerdem an, dass ihr nicht bekannt sei, dass jemand anderes als das CCC auf die Daten zugegriffen habe.

Weitere ähnliche Geschichten

WIR EMPFEHLEN