Datenleck bei VW/Skoda

Der Bericht passt eigentlich zur generellen IT-Kompetenz und was man bisher so beobachten konnte.

Es werden ja auch die Apps fehlerhaft an die Kunden geschickt, im Portal hat man Stand heute immer noch keine Möglichkeit, die erteilte Datenweitergabe an Drittanbieter zu widerrufen, teilweise Ausfälle der Infrastruktur rund um App-Server-Fahrzeug.

Für mich ist da die Aussenwirkung, dass es keine ausreichenden Qualitätssicherung in diesem Bereich gibt, womit wir wieder bei „IT-Kompetenz“ sind.

Mit dem Leck hat sich VW sehr stark negativ exponiert und der Vorfall ist eigentlich ein klarer Fall für Bussgelder seitens der Datenschutzbehörde. Egal, ob da jetzt jemand aus Versehen die Absicherung verpatzt hat oder nicht. Zudem müssen eigentlich bei solchen Vorfällen die Betroffenen umgehend und zeitnah informiert werden. Zeitnah heisst in dem Fall nicht über einen Monat nach der Entdeckung des Vorfalls.

Zumindest hat jemand bei CARIAD nach der Offenlegung die Dringlichkeit erkannt und umgehend gehandelt. Leider kennt man sich aber wohl nicht so gut mit den Verordnungen aus und somit sollte das Bussgeld dann auch nicht zu knapp ausfallen.

Das jetzt erst darüber berichtet wird, macht m.M. nach Sinn. Erst musste die Sicherheitslücke geschlossen werden bevor die Informationen rausgehen.

Vermutlich wollte sich auch die PR (- und womöglich die Rechts) abteilung auf die zu erwartenden Reaktionen vorbereiten...🤔

Erinnert mich alles ein wenig an einen meiner Lieblingsfilme, „Der Staatsfeind Nr. 1“ mit dem grandiosen Gene Hackman und Will Smith in den Hauptrollen. Der Film ist aus dem Jahr 1998 und wir wundern uns, dass wir überall Spuren hinterlassen und glauben noch immer, dass es Datensicherheit gibt.

Und noch eins: hier in diesem wunderbaren Forum wird so oft mit zweierlei Maß gemessen. Bei VW ist glücklicherweise nichts passiert und alle regen sich auf. Tronity hat man in den Himmel gelobt für ihre offene Kommunikation bei einer großen Datenklaumaßnahme. Seit dem Tronity-Datenklau bekomme ich auf meiner hauptsächlich genutzten privaten E-Mail erstmals seit 20 Jahren Spam-Mails. Komisch.

Man darf aber auch nicht alle und jeden über einen Kamm scheren. Z.B. Stichwort Weihnachtsbaum.

Die reine Softwareentwicklung/Programmierung ist ja nicht direkt für die Sicherheit von Bewegungsdaten zuständig. Das ist ja eher die Netzwerktruppe, die Datenbanktruppe und die IT-Infrastruktur, bzw. die Zuständigen für Datenhaltung in der Cloud bzw. in einem klassischen Rechenzentrum.

Das sind schon unterschiedliche „Falkultäten“. Man sollte die Softwareentwickler nicht für alles was passiert oder im Argen liegt verhauen.

Was nicht heißen soll, dass VW nicht in der Gesamtverantwortung steht.

Zitat von Deichguckerin

Das jetzt erst darüber berichtet wird, macht m.M. nach Sinn. Erst musste die Sicherheitslücke geschlossen werden bevor die Informationen rausgehen.

Vermutlich wollte sich auch die PR (- und womöglich die Rechts) abteilung auf die zu erwartenden Reaktionen vorbereiten...🤔

Wenn die einen Monat brauchen, um das „Sicherheitsloch“ (hier der unauthorisierte Zugriff), dann sollten der Laden umgehend geschlossen werden.

In einer richtigen Firma hat es für sowas Risikoplanungen und im dümmste Fall, musst Du die ganze Infrastruktur vom Netz nehmen. Und zwar gleich. Und ich meine auch, dass die Information über die freie Verfügbarkeit Deiner Daten umgehen bekanntgegeben muss.

Angenommen, Du hast einen Passwortmanager und dieser wird geknackt. Da meldet sich der Anbieter hoffentlich sofort und nicht erst, wenn die Täter Deine Konten leergeräumt haben.

Fitz

Dann sollte es Microsoft, Adobe und Co schon längst nicht mehr geben. Die haben alle teils länger als 30 Tage benötigt, sogar Monate.

Keine dieser Firmen hat Infrastruktur offline genommen. China hatte fast 18 Monate Zugriff auf alles bei Microsoft Azure, auch Daten von Drittfirmen.

Selbst beim LastPass-Hack kam die Info nicht sofort.

Ich finde überall Meldungen über den Leak, die sich auf den Spiegel-Artikel und CCC stützen. Darin ist dann eine schmallippige Aussage von VW/Cariad eingearbeitet. Ich finde aber weder von VW noch Cariad eine offizielle Stellungnahme dazu. Der Artikel vom Spiegel und auch der CCC-Vortrag fallen nicht vom Himmel. Da muss man sich Gedanken machen.

Und über die Positionsdaten lassen sich Dinge rekonstruieren. Die Mehrzahl der Fahrzeuge wird uninteressant sein, aber Fahrzeuge von Journalisten, Behörden etc. sind ein lohnendes Ziel. Und selbst bei einer 08/15-Person wird es interessant, wenn er mitttwochs alle 14 Tage vor gewissen Örtlichkeiten hält.

Zitat von NicT

Fitz

Dann sollte es Microsoft, Adobe und Co schon längst nicht mehr geben. Die haben alle teils länger als 30 Tage benötigt, sogar Monate.

Keine dieser Firmen hat Infrastruktur offline genommen. China hatte fast 18 Monate Zugriff auf alles bei Microsoft Azure, auch Daten von Drittfirmen.

Selbst beim LastPass-Hack kam die Info nicht sofort.

An das Lastpass-Fiasko habe ich gedacht, la ich geschrieben habe.

Es geht mir hier um die Mitteilung, dass es zu einem Zwischenfall kam und Betroffene informiert werden. Während das bei Microsoft eine bescheidene Sicherheitskultur hatte, hat es bei CARIAD wohl zu wenig Know-how. Das ändert ja nichts daran, dass im Falle eines Datenlecks, Betroffene informiert werden, was passierte und welche Massnahmen ergriffen wurden.

Aber weitere Details können wir uns hier sicher sparen, das ist das falsche Forum. Mal gespannt, ob seitens VW noch eine Mitteilung/Aufklärung kommt.

Aber kam es denn überhaupt zu einem Datenklau = Zwischenfall ?

Klar ist das Alles kein Ruhmesblatt, aber so weit ich das bisher gelesen habe, wurde die Sicherheitslücke aufgedeckt (und geschlossen) bevor die Daten von Dritten abgegriffen wurden. 🤔

Zitat von Deichguckerin

Klar ist das Alles kein Ruhmesblatt, aber so weit ich das bisher gelesen habe, wurde die Sicherheitslücke aufgedeckt (und geschlossen) bevor die Daten von Dritten abgegriffen wurden. 🤔

Es ist keine Sicherheitslücke, sondern durch eine fehlerhafte Konfiguration war der Zugriff auf Daten möglich. Dass, was Cariad da gemacht hat, ist ein ONS ohne Kondom. Kann gut gehen, muss aber nicht.

Ob und wenn ja, in welchem Umfang Daten abgeflossen sind, muss sich noch zeigen. Cariad geht zwar nach aktuellem Stand davon aus, dass das nicht passiert ist.

Essen wir mal die letzten Reste Spekulatius:

myskoda App hat öfter Schluckauf und jetzt wird eine Lücke wegen eines Anfängerfehlers bekannt.

Entweder hat in der Zeit jemand Daten abgesaugt und die Server damit in die Knie gezwungen oder es ist ein weiteres Indiz, dass Cariad keine Software kann.

Oftmals tauchen die Datensätze erst später auf. Zuerst wird oftmals versucht, diese Datensätze im Dark Web zu Geld zu machen.

Wer seine Daten mal checken will, kann hier mal schauen:

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

haveibeenpwned.com