Datenleck bei VW/Skoda

    Kurz zum Background was das "Datenleck" ist (Der 38C3 Vortrag läuft gerade) (zumindest das was im spiegel.de beschrieben steht). Ganz so "da standen alle Daten im Klartext im Internet" ist es dann doch nicht.

    Ich beziehe mich auf folgenden Absatz

    Zitat

    Mit ihnen war es, vereinfacht gesagt, möglich, durch systematisches Raten bestimmte Cariad-Internetseiten und ihre Unterseiten zu finden, auch wenn die für normale Nutzer teilweise unsichtbar sind. Dadurch wurden Pfade sichtbar, die direkt auf Dateien führten, von denen schon an der Endung erkennbar war, dass sie brisante Inhalte haben könnten. Einer dieser Pfade führte zur Kopie des jeweils aktuellen Speicherauszugs einer Cariad-internen Anwendung. Eine solche Datei sollte überhaupt nicht im offenen Internet stehen oder zumindest nicht ohne Passwortschutz. Moderne Sicherheitsprogramme und -prozesse müssten ein solches Versäumnis eigentlich erkennen. Weil das bei Cariad nicht der Fall war, hätten Angreifer den Speicherauszug einfach herunterladen und öffnen können. Darin lagen – einfach zu finden – die Zugangsdaten zu einem Cloudspeicher bei Amazon.


    Meine Schlussfolgerung: Es war durch systematisches Raten möglich das LogFile / ConfigDump / ConfigRuntime eines Servers von Cariad öffentlich zugreifen. Diese Datei sollte eigentlich nicht aus dem Internet zugreifbar sein und eine Web Application Firewall hätte den Zugriff eigentlich abfangen müssen.

    In dieser Datei standen die Zugriffscredentials für den / die S3 Buckets bei AWS, da die Anwendung auf den/die Buckets zugreift.

    Die "Fehlkonfiguration" bezieht sich daher vermutlich nicht auf den S3 Bucket sondern auf darauf das die ConfigRuntime der Anwendung Zugreifbar war.

    Ja, das ist Fahrlässig, darf nicht passieren und mehr als Peinlich. Aber die Daten standen nach meinen Verständnis nicht frei zugänglich im Netz.
    Der Zugriffsschlüssel zu den Daten war aber öffentlich Zugreifbar (aber man musste zumindest etwas suchen).



    Nachtrag: Der Relive Stream ist nun verfügbar.

    Relive: Wir wissen wo dein Auto steht - Volksdaten von Volkswagen – 38C3: Illegal Instructions Streaming

    Die Cariad Application war eine Springboot Java Application und die Konfiguration war über den heapdumps Endpunkt verfügbar. Amateurhafte Konfiguration einen Application Servers und der eigentlich erwartbare Schutz einer WAF oder IDS/IPS war auch nicht vorhanden.


    Den größeren "Skandal" sehe ich darin, warum die Daten überhaupt in dieser Menge, Masse und mit personenbezogenen Daten gesammelt und bei einem Anbieter gespeichert wurde der unter dem Cloud Act fällt

    Enyaq 60 Sportline Moon-White | Bestellt KW8 | Geliefert KW16 | Übergabe KW17

    Einmal editiert, zuletzt von Raducanu ()

    Gefällt mir 2 Danke 6

    Ich weiß nicht, wie schnell der Vortrag online kommt. Hier mal ein paar Kernpunkte:

    - Audi und Skoda sind nicht ganz so schlimm, weil die Geokoordinaten auf 1 Stelle gekürzt wurde, d.h. Koordinaten nur auf 10km genau; dafür Seat (Cupra Born) und VW komplette Koordinaten, d.h. lokalisation auf 10cm

    - ca. 800T Datensätze, davon ca. 460T VW + Seat, also richtig schlimm

    - man weiß, wo das geheime Forschungszentrum von VW in Skandinavien ist

    - u.a. Polizei Hamburg, britische Behörden betroffen (anhand der Registrierungsdaten); Einsatzfahrten der Polizei Hamburg lassen sich nachvollziehen; sprich wer im betroffenen Zeitraum mit der Polizei Hamburg und einem ID-Einsatzfahrzeug zu tun hatte, kann die Polizei anzeigen 8o

    - Verstoß gegen DSGVO Artikel 13: Die Verarbeitung personenbezogener Daten, aus denen [...] politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von [...] Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

    - man konnte Mitarbeiter beim BND, Airbase Rammstein, Verfassungsschutz durch Speicherung der Koordinaten "identifizieren"; dazu Fahrrouten Bankenviertel, Bordelle, Firmen

    Zum Glück ist die Schnittmenge derer, die professionell Autos klauen und derer die dabei auf einen Skoda abziehlen vermutlich äußerst klein 😝

    🐍 RS coupé - Mamba Green

    ☀️ PV:8kWp (25° S) + 8 kWp (0°) + 1.8 kWp (70° SOO) an 3xVictron MP 5000, Fronius Symo 12.5 kW, Hoymiles HMT-2000
    💨2kW Windrad für Winter + Nacht
    🔋28kWh Pylontech Heimspeicher
    🔌Fronius Wattpilot 22kW

    Haha 3
    Zitat von Rumpelkammer

    wer im betroffenen Zeitraum mit der Polizei Hamburg und einem ID-Einsatzfahrzeug zu tun hatte, kann die Polizei anzeigen 8o


    Warum? Wurde von den ID´s auch übermittelt, welche Fahrzeuge oder Personen in der Nähe waren?

    Weil die Polizei keine Daten veröffentlichen darf, wo ihre Einsätze sind, weil darüber eine Identifizierung möglich ist.

    Bsp.: Die Polizei Hamburg fährt mehrfach von der Wache zur Adresse X und dann wieder zurück. Dann aber geht es an einem Tag von Adresse X zur JVA. Danach höre die Fahrten zur Adresse X auf. Gebe ich bei Google dann Adresse X ein, finde ich den Eintrag, dass dort Herr O*** Sch*** wohnt.


    Für den Verstoß spielt es keine Rolle, ob die Polizei es wissentlich oder unwissentlich getan hat. Das kann aber Einfluss auf die Strafzumessung haben.


    Neben der Polizei Hamburg sind in Deutschland weitere Polizeibehörden betroffen. Aber auch die Polizei in der Schweiz, Belgien, Niederlande und Schweden ist im Datenleck enthalten. Wenn es dort zu Ermittlungen kommt, hat das auch Auswirkungen auf Deutschland. Die GDPR, also EU-weite Richtlinie der DSGVO, gilt mit Ausnahme der Schweiz auch in diesen Ländern. Der LfD Niedersachsen kann wohl schlecht zu dem Ergebnis kommen, dass eigentlich alles bis auf ganz kleine Mängel okay ist, während die Behörden in den anderen Ländern eine Liste mit Fehlern zusammenstellen.

    Ich muss schon sagen, dass der Vortrag vom CCC enorm sehenswert ist!

    Von 15:00 bis 36:25 erfolgt die technische Erklärung,

    ab 36:25 bis 53:00 folgen Beispiele was mit den "offenen Daten" alles interpretiert werden kann, siehe auch Beilage:


    VW Datenleck 20241228.jpg


    Das die Daten ungeschützt und unverschlüsselt "einfach so rumlagen" und man durch systematische Erraten des AWS Pfad an die Daten gelangenn konnte, ist grobfahrlässig! (AWS=Amazon Web Services wo VW die Daten gehostet hat)


    Ich vermutete es schon damals, als ich erfuhr das die OTA Updates nur via 4G und nicht via WLAN in's Auto kommen das bei VW mehr Security through obscurity herrscht, nun haben wir den Beweis! (Security through obscurity= Sicherheit durch Unklarheit)


    Das Daten aufgezeichnet werden war mir klar, dass ich nun Opfer wegen der schlampigen VW Software geworden bin, stört mich doch sehr!

    Das Problem ist nicht die Sammlung, sondern die "Art" der Aufbewahrung der Daten.


    Ein Beispiel im Vortrag erwähnt, dass man die Fahrzeuge eines Caterer gefunden hat, der immer wieder zu Regierungsstellen fuhren. Was liesse sich mit diesen Info's alles anstellen? Vergiften, Attentat, etc......

    Sorry, VW ist ein S..laden!

    Enyaq iV60, graphit grau, Loft Stoff/Kunstleder grau, Infotainment Plus (HUD), Parking "Clever" Plus,

    Convenience Basic, Assisted Drive Basic, WP, AHK, 8J x 19" «Regulus» glanzgedreht, Speaker City Premium Soundsystem


    WB: go-e flex gemini mit go-e controller

    PV: SolarEdge 14kWp

    Danke 1

    Überspitzt gesagt: VW mag die Software mit den Fehlern, so wie sie ist, da vereinfacht gesagt

    - sich mit solchen Daten viel Geld verdienen und lässt, und

    - die Nutzer die Einwilligung und die Haftungsbeschränkung mit der Nutzung akzeptieren muss bzw. akzeptiert hat..

    IT-Sicherheit ist teuer, weg damit. Dafür gibt‘s ja die Einwilligung der Nutzer. Die Marketing- und Kommunikationsabteilung „beschwichtigt“ die verärgerten Nutzer mit „Asche auf unser Haupt“, ein Vorstandsmitglied hält irgendwo mal 2 Stunden lang pro forma den Kopf hin, in einem halben Jahr, bis vielleicht bereits der nächste „Skandal“ auftaucht, ist alles vergessen.

    Traurig aber leider so ziemlich wahr.

    Zitat von xmds

    Das Problem ist nicht die Sammlung, sondern die "Art" der Aufbewahrung der Daten.

    Ich würde es präzisieren: Kritisch wird es vorallem, wenn die Daten in einer langen Historie gespeichert werden. Die einzelnen Datensätze zu einem bestimmten Zeitpunkt werden erst gefährlich, wenn eine Zeit-Dimension dazu kommt.


    Besonders ärgerlich: Wir haben nur auf unseren letzten Datensatz zugriff. Eine Historie - wie sie über Tronity "erstellt" wurde - liefert uns VW/Skoda nicht.

    Enyaq 80

    AHK, WP, AirBags hinten, Klima Basic, Family+, Fahrerassistenz+, Convenience Basic, Licht & Sicht Basic, nachbestellt: Infotainment Basic

    PV: 7 kWp mit Speicher, openWB und smartWB

    Gefällt mir 1
    Zitat von xmds

    Das die Daten ungeschützt und unverschlüsselt "einfach so rumlagen" und man durch systematische Erraten des AWS Pfad an die Daten gelangenn konnte, ist grobfahrlässig! (AWS=Amazon Web Services wo VW die Daten gehostet hat)

    Das stimmt einfach nicht. Die Daten lagen nicht ungeschützt in einem S3 Bucket.

    Der Bucket war mit Client ID und Secret geschützt. Diese Daten waren bei einer CARIAD Java Anwendung hinterlegt, die leider den Spring Heapdump API Endpunkt aktiv hatte und ohne Schutz im Internet erreichbar war. Aus dem Heapdump (in dem Video als "Schrotthaufen" dargestellt) kommt man nun mit Tools die Client ID und Secret herausfinden.


    Zum Vergleich: Du hast einen Geldautomat irgendwo in der Innenstadt, der Tresor des Geldautomats ist mit einem Zahlenschloss gesichert.

    In der nächsten Bankfiliale steht nun im Backoffice an der Pinnwand die Kombination des Tresors.

    Geldautomat = S3 Bucket

    Zahlenschloss = ClientID / Secret

    Bankfiliale = Cariad JAVA Anwendung

    Backoffice mit PIN = Heapdump mit ClientID/Secret

    Geöffnete Tür zum Backoffice ohne Überwachung = Heapdump API Endpunkt der im Internet steht

    Enyaq 60 Sportline Moon-White | Bestellt KW8 | Geliefert KW16 | Übergabe KW17

    Gefällt mir 4 Danke 7

Liebe/r Besucher/in des Enyaq-Forum. Wir würden uns freuen, wenn du etwas zum obigen Thema beitragen möchtest.

Hier klicken, um ein kostenloses Benutzerkonto im Enyaq Forum anlegen

Bereits 10274 Mitglieder sind dabei und tauschen erste Informationen rund um das neue Elektro SUV Enyaq von Skoda aus! Viel Spaß :)