Frustrierter Gebrauchtwagenkäufer hackt MyVolkswagen App

Table of Contents

Laut einem Bericht auf medium.com gelang es einem frustrierten VW-Gebrauchtwagen Käufer sich in die MyVolkgswagen App zu hacken, nachdem diese auf den Vorbesitzer registriert war und eine Änderung der Registrierung nicht ohne diesen möglich schien. Dabei fand dieser die folgenden Schwachstellen und nutzte diese aus.

Schwachstelle 1: OTP-Brute-Force ohne Sperre

Nach dem Kauf eines Gebrauchtwagens versuchte der Käufer, sein Fahrzeug über die App zu registrieren. Da der erforderliche Einmalcode (OTP) an den Vorbesitzer gesendet wurde und keine Sperrmechanismen bei falschen Eingaben existierten, entwickelte er ein Python-Skript, um alle 10.000 möglichen OTP-Kombinationen durchzuprobieren. Innerhalb kurzer Zeit gelang ihm so der Zugriff auf das Fahrzeug.

Schwachstelle 2: Offenlegung interner Zugangsdaten

Bei der Analyse der API-Aufrufe stellte der Käufer fest, dass ein Endpunkt sensible Informationen wie Passwörter, Tokens und Benutzernamen für interne Dienste im Klartext preisgab. Diese Daten könnten potenziell für weiterführende Angriffe genutzt werden.

Schwachstelle 3: Unautorisierter Zugriff auf Fahrzeugdaten

Ein weiterer API-Endpunkt ermöglichte es, durch Angabe einer beliebigen Fahrzeug-Identifikationsnummer (VIN) detaillierte Informationen über das Fahrzeug abzurufen, darunter Standortdaten, Batteriestatus und andere sensible Informationen – ohne jegliche Authentifizierung.

Related Posts

Ransomware-Angriff auf OeTTINGER Brauerei

Die OeTTINGER Brauerei GmbH, einer der größten deutschen Brauerei- und Getränkehersteller, wurde Opfer eines Ransomware-Angriffs durch die Hackergruppe RansomHouse. Dies berichtete der Cybersecurity-Dienst FalconFeeds.io am 5. Mai 2025.

Read More

Europcar: Datenleck von bis zu 200.000 Kundendaten

April 2025 – Die Europcar Mobility Group wurde laut BleepingComputer Opfer eines schwerwiegenden Cyberangriffs. Ein unbekannter Hacker verschaffte sich Zugang zu den GitLab-Repositories des Unternehmens und stahl dabei nicht nur Source Code für die Android- und iOS-Apps, sondern auch persönliche Daten von bis zu 200.000 Kunden der Marken Goldcar und Ubeeqo. Der Angreifer erbeutete über 9.000 SQL-Backups sowie mehr als 260 .ENV-Dateien mit sensiblen Konfigurationsdaten. Der Hacker drohte mit der Veröffentlichung der Daten.

Read More

Datenleck: 541.000 Bilder aus LGBTQ+ und BDSM-Dating-Apps öffentlich zugänglich

Eine Untersuchung von Cybernews hat einen massiven Datenschutzvorfall bei mehreren iOS-Dating-Apps für die BDSM-, LGBTQ+- und Sugar-Dating-Community aufgedeckt. Die betroffenen Apps – darunter BDSM People, CHICA, TRANSLOVE, PINK und BRISH – hatten sensible Zugangsdaten wie API-Keys und Cloud-Zugangsinformationen ungeschützt im App-Code hinterlegt. Dadurch waren private Nutzerfotos über ungesicherte Google Cloud Storage Buckets öffentlich zugänglich.

Read More