Laut einem Bericht von Günther Born auf seinem Blog Borncity.com wurden Kfz-Gutachten der Prüforganisationen TÜV Rheinland und DEKRA im Internet ohne ausreichenden Schutz abrufbar. Dieser Vorfall, der am 19. Oktober 2024 bekannt wurde, betrifft zahlreiche Kfz-Gutachten, die persönliche Informationen der Fahrzeughalter sowie technische Daten der Fahrzeuge enthielten. Betroffen sind Gutachten, die in Zusammenhang mit Unfallfahrzeugen oder Zustandsbewertungen erstellt wurden.
Die Gutachten, die über das Internet zugänglich waren, konnten ohne jegliche Authentifizierung abgerufen werden. Das bedeutet, dass jeder, der über die richtige URL verfügte, diese Dokumente einsehen konnte. Dies stellt ein gravierendes Sicherheitsrisiko dar, da diese Gutachten persönliche Daten wie Namen, Adressen und Fahrzeug-Identifizierungsnummern (FIN) enthalten. Zudem könnten Informationen über Unfallschäden oder den technischen Zustand der Fahrzeuge von unbefugten Dritten eingesehen werden.
Der Ablauf des Vorfalls folgt einer klassischen Sicherheitslücke im Bereich des Datenschutzes: Durch die fehlerhafte Implementierung eines Webdienstes wurden Links zu den Gutachten generiert, die keine zusätzliche Authentifizierung erforderten. Das bedeutet, dass die URLs zu den Gutachten, wenn sie bekannt oder durch Suchmaschinen indiziert wurden, von jedem aufgerufen werden konnten. Wie Born berichtet, ist der genaue Umfang der betroffenen Gutachten noch unklar, allerdings wurde die Lücke von Nutzern entdeckt, die auf diese offenen Daten aufmerksam wurden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: