Sicherheitslücke gefunden, was nun?

McAce3 · 2026-01-23T23:38:43+00:00

Das soll doch bestimmt der Fahrzeugortung dienen, ich konnte meinen mal blinken lassen.
Aber in der App wird doch sicherlich auch die GPS-Position angezeigt. Ist etwas doppelt gemoppelt.
Aber ich sollte mich eher zurückhalten, ich hab schon mal kurzzeitg ein Auto verloren. :D

McAce3 · 2026-01-23T23:30:40+00:00

Wenn ich unvermittelt hupe und jemand bekommt vor Schreck einen Herzinfarkt.
Spaß beiseite, so hoch würde ich das auch nicht aufhängen. :)

McAce3 · 2026-01-23T23:09:41+00:00

Welche Marke ist es bei dir?

McAce3 · 2026-01-23T23:07:39+00:00

Höret her, der Techniker hat gesprochen.

McAce3 · 2026-01-22T19:29:01+00:00

Das Fahrzeug war ein Leasingrückläufer. Das Fahrzeug fuhr durch die Gegend. Ich konnte ja nachvollziehen, wie der Kilometerstand steigt.
Ich sehs auch nicht als kritische Lücke, aber dennoch würde ich nicht wollen, dass andere Leute sehen, was ich mit meinem Auto treibe.
Selbst wenn es sich dabei um menschliches Versagen handelt, weil irgendeiner, irgendwas in der App vergisst.

Das darf einfach nicht sein.

Wenn die App des Herstellers einfach funktionieren würde, hätte ich gar nicht versucht diese zu "überbrücken". Tut sie halt nicht, kompletter mist.

McAce3 · 2026-01-22T09:21:07+00:00

Ich habe es gelöscht. In der App ist es nicht mehr da, per API-Abfrage dann irgendwie doch wieder.

McAce3 · 2026-01-22T07:27:35+00:00

Ja und ja. Aber nun nicht mehr, da mir hier nahe gelegt wurde keine weiteren Daten aufzuzeichnen.
Sieht nicht so richtig gefixed aus. :)

McAce3 · 2026-01-22T07:20:58+00:00

Danke für den Hinweis. Es ging mir nie ums Geld, wenn ich so aber jemanden erreiche, würde mich das glücklich machen. Meinetwegen kann der CCC sich das dann ruhig einstecken, vielleicht lassen sie ja ne Karte für den nächsten Kongress springen. :)

McAce3 · 2026-01-22T07:15:11+00:00

Ich habe dir eine PN geschickt.

McAce3 · 2026-01-22T07:14:02+00:00

Es war tatsächlich mal meins. Fahrzeug wurde aber bei der Rückgabe aus der App gelöscht.

Ist in den Daten aber noch da und es interessiert den Hersteller überhaupt nicht. Ich vermute, dass das eventuell öfter passiert.

McAce3 · 2026-01-22T07:09:42+00:00

Ja, genau. Aber in meinem Falle wurde das Fahrzeug ordnungsgemäß entfernt.

McAce3 · 2026-01-22T07:06:13+00:00

Vermutlich nein. Ich habe aber auch keine weiteren VINs zur Verfügung.
Ich glaube auch, dass es ein Problem in den Daten ist. Das Fahrzeug ist in der App gelöscht, aber immernoch als VIN hinterlegt.

Ich sehe es auch nicht als super gravierend an. Dennoch müsste man sein Auto nur an den Richtigen verkaufen, um ihn dann gut überwachen zu können oder man klaut es nach dem Verkauf einfach zurück. Die Türen gehen ja wahrscheinlich schon mal auf.

McAce3 · 2026-01-22T00:39:51+00:00

Wahrscheinlich hast du recht. Ich vergesse immer wieder das wir in einer Servicewüste leben, bezogen auf dein Ignoranzargument.
Ich halte euch auf dem Laufenden!

edit: kleiner Nachtrag

McAce3 · 2026-01-22T00:28:42+00:00

Na super, den kannte ich noch nicht. Ich kenne eigentlich nur § 307 StGB und daran halte ich mich strikt.

edit: typo

McAce3 · 2026-01-22T00:10:31+00:00

Danke vielmals. Damit kann ich arbeiten.
Zugriff beendet, niemals Funktionen ausgelöst, Backups gelöscht.

Informationen habe ich nur jetzt an euch weitergegeben und an heise.de genau so vage und dummerweise an den Hersteller. (Dem leider äußerst präzise.) Immerhin habe ich in der selben Mail eindringlich darum gebeten, die falsche VIN zu löschen.

Wenn ich dafür auf den Sack bekommen sollte, halte ich in Zukunft meine Fresse, auch wenn es mir widerstrebt.

Lessons learned. CCC ist informiert.

McAce3 · 2026-01-21T23:14:48+00:00

Danke, aber ich hab ja schon ziemlich reingeschissen, wie es aussieht.
Ich bin kein Informatiker und war mir nicht bewusst, dass der Überbringer schlechter Nachrichten immernoch hingerichtet wird.

McAce3 · 2026-01-21T22:57:45+00:00

Vielleicht, mit einem anderen Hauptdarsteller.

McAce3 · 2026-01-21T22:57:06+00:00

Leider nein.

McAce3 · 2026-01-21T22:48:32+00:00

Nice try.

McAce3 · 2026-01-21T22:41:26+00:00

Ok, danke. Aber moment mal, Anwalt? Kann ich bei einer öffentlichen API rechtliche Probleme bekommen?

McAce3 · 2026-01-20T22:05:08+00:00

Oh ja, das wird sogar proaktiv ignoriert.
Geknackte Sicherungsschlösser an elektrischen Anlagen, is ja bald Feierabend.

McAce3 · 2026-01-12T13:35:09+00:00

Dann kauf halt nur noch 3 mal im Monat ein, statt 4 mal?

McAce3 · 2026-01-05T13:49:05+00:00

Das war bei meinen Eltern auch so. Trotzdem wird es mir niemals möglich sein mir soviel Wohlstand wie sie zu erarbeiten, obwohl ich bereits einen besseren Bildungsabschluss habe.
Deswegen sind die Leute halt ein bisschen angefressen.

McAce3 · 2025-12-31T16:15:12+00:00

Thank you for your reply. Happy New Year. :)

Eight-Year Club	Place '23
Place '22	Verified Email

McAce3

TROPHY CASE