Volkswagen Elektroautos mit Datenpanne - Alle wussten wo dein E-Auto stand
In Hamburg findet der 38. Chaos Communication Congress statt. Im Talk „Wir wissen wo dein Auto steht - Volksdaten von Volkswagen“ enthüllten die Michael Kreil und Flüpke eine große Sicherheitslücke bei VW, welche mittlerweile aber geschlossen sein soll. Denn Volkswagen wurde bereits einen Monat zuvor über die Missstände unterrichtet. Von der Datenpanne waren alle Fahrzeuge betroffen, die den MEB, also den Modularen E-Antrieb Baukasten von Volkswagen verwenden. Somit auch Autos der Marken Skoda, Seat und Audi.
Mittels einfacher Tools wie Subfinder und Gobuster fand eine Hackerin, die lieber anonym bleiben wollte, einen ungeschützten Zugriffspunkt auf VW-Daten. Subfinder findet Subdomains von Webseiten, Gobuster ist ein Tool, das zum Brute-Forcing von URLs, DNS-Subdomains und Virtual Hosts verwendet wird. Damit fanden sie auch das Spring-Framework vor, welches VW einsetzt. Ein Baukasten für Java-Backends, mit fast einer Millionen Codezeilen, der richtig konfiguriert werden will. Leider hat VW hier geschlampt. Per simplen Befehl GET /actuator/heapdump konnten Einblicke in den Speicher der Anwendung aufgerufen werden. Heapdumps sind eigentlich Schrottdaten, aber per Meta-Informationen lassen sich viele Rückschlüsse auf Kunden ziehen. Ab diesem Zeitpunkt arbeitete die Hackerin mit dem CCC zusammen.
Zusätzlich nutzten die Forscher das Tool „strings“, um Textfragmente in den enthaltenen Binärdateien zu finden, die möglicherweise Hinweise auf die Schwachstelle liefern könnten. Im Klartext lagen dort die CLIENT_ID und das CLIENT_SECRET - die Zugangsdaten zu den VW-Daten. Mit diesen Informationen war es ein Leichtes, Zugriff auf die Datensätze zu erlangen. Ein ungesicherter Token Exchange, bei dem man Zugriffs-Token ohne Kennwörter ergattern konnte tat sein Übriges. Kreil und Flüpke betonten, dass die Sicherheitslücke mit„"Script-Kiddy-Tools“ ausnutzbar gewesen sei. Dies steht im krassen Gegensatz zu der Aussage von VW gegenüber dem Spiegel, dass der Zugriff auf die Daten ein „komplexes, mehrstufiges Verfahren“ erfordert habe.
Welche Daten wurden geleakt?
Das Datenleck umfasste eine riesige Menge an Informationen, darunter:
- Nutzerdaten: Name und E-Mail-Adresse, teilweise auch Telefonnummer, Adresse und Geburtstag
- Fahrzeugidentifikation: Fahrzeugidentifikationsnummer (VIN), Modell, Baujahr
- E-Auto-Daten: Batteriestatus, Kilometerstand, Warnungen
- Standortdaten: Es wurden Standortdaten von 800.000 Elektrofahrzeugen erfasst. Bei Skoda und Audi mit einer Genauigkeit von einigen Kilometern. Bei Seat und VW auf wenige Zentimeter genau
Standortdaten sind besonders sensibel
Die geleakten Daten erlauben es, vielfältige Rückschlüsse auf das Leben der Fahrzeughalter zu ziehen. Neben der Heimatadresse und dem Arbeitsort kann man auch Gewohnheiten, Hobbys und Besuche intimer Orte nachvollziehen. Schulen der Kinder, Arztbesuche, Besuche in der Kirche, Moschee oder Synagoge und sogar Bordellbesuche ließen sich bei VW- und Seat-Kunden nachvollziehen. Ebenso erlauben die Daten Spionage und Tracking durch Dritte. Nachrichtendienste könnten die Bewegungsprofile der Fahrzeuge dazu nutzen, Personen zu überwachen und Informationen über deren Kontakte und Aufenthaltsorte zu sammeln. Auch offensichtliche Angestellte des BND oder des MAD lassen sich in den Datensätzen finden und teils sogar mit Klarnamen und Adresse ausspähen.
Der CCC reagierte verantwortungsvoll und informierte sowohl VW als auch die Behörden über die Sicherheitslücke. Ein Sprecher des CCC lobte die zügige und verantwortungsvolle Reaktion von VW-Technikern und betonte auch, dass es nicht selbstverständlich sei, dass hier nicht zuerst die Rechtsabteilung eingeschaltet wurde. Allerdings spielte Volkswagen das Datenleck auch herunter und behauptete, dass "keine sensiblen Daten betroffen" seien. Diese Aussage steht im Widerspruch zu den tatsächlich geleakten Informationen.
VW selbst verstößt hier gegen die eigenen AGB, in denen es heißt, dass Standortdaten nur in gekürzter Form gespeichert werden sollen. Bei Audi und Skoda funktionierte das Kürzen tadellos, womit nur sehr oberflächliche Bewegungsdaten gespeichert wurden. Da die Standortdaten viele Rückschlüsse auf die Kunden ermöglichen, verstößt VW wahrscheinlich gegen mehrere Artikel der DSGVO. Standortdaten bieten Rückschlüsse auf politische Meinungen (Parteitage besucht), religiöse Überzeugungen (Kirche, Moschee, Synagoge besucht), Gewerkschaftszugehörigkeit, Gesundheit (Krankenhaus/Arzt besucht), sexuelle Orientierung (Swingerklub, Bordell etc. besucht). All dies darf laut DSGVO nicht gespeichert werden. Personenbezogene Daten müssen zudem immer verschlüsselt werden. Auch dies ist bei VW offensichtlich nicht geschehen.
Fazit: Fahrlässiger Umgang mit Kundendaten
Das Datenleck bei VW offenbart einen fahrlässigen Umgang mit sensiblen Kundendaten. Der Konzern hat die Daten von Hunderttausenden Fahrzeughaltern nicht ausreichend geschützt. Dabei waren es einfache Fehler, die VW begangen hat. GET /actuator/heatdump wurde nicht in der Konfiguration von Springs deaktiviert und die Geokoordinaten von Fahrzeugen wurden nicht gekürzt. Es bleibt zu hoffen, dass dieser Vorfall VW und andere Automobilhersteller dazu bewegt, ihre IT-Sicherheit zu verbessern und den Datenschutz ernster zu nehmen.
Quelle(n)
