{"id":199,"date":"2016-01-28T10:33:56","date_gmt":"2016-01-28T10:33:56","guid":{"rendered":"http:\/\/www.ragerman.com\/?p=199"},"modified":"2021-07-02T09:17:47","modified_gmt":"2021-07-02T08:17:47","slug":"car2go-gehackt","status":"publish","type":"post","link":"https:\/\/www.ragerman.de\/car2go-gehackt\/","title":{"rendered":"Car2Go gehackt? Oder wie man Probleme mit Datensicherheit geschickt formuliert"},"content":{"rendered":"

Car2Go wurde anscheinend gehackt und die erbeuteten Daten werden derzeit teilweise dazu missbraucht Phishing-SMS an Kunden zu versenden. Jedenfalls hatte Car2Go am 26.1.2016 an alle seine deutschen Kunden (weltweit \u00fcber 1,6 Millionen) eine Warnung per SMS und E-Mail versendet, man m\u00f6ge doch bitte nicht auf SMS reagieren, die vorgeben von Car2Go zu stammen aber letztlich nur sensible Daten stehlen wollen.<\/p>\n

Zus\u00e4tzlich gibt es einen Newsletter mit folgendem Inhalt:<\/p>\n

\"screencapture-newsletter-car2go-com-ov-1453975860077\"<\/a><\/p>\n

 <\/p>\n

<\/div>\n

Hinweise auf entwendete Kundendatens\u00e4tze – Die Namen sind den Angreifern bekannt<\/h2>\n

Das wichtigste bleibt sowohl in der Info-SMS als auch in dem Newsleter jedoch unerw\u00e4hnt! In der benannten Phishing-SMS werden die Kunden mit vollem Namen angesprochen.<\/strong> Zuordnung von Namen und Handynummern mit der Gemeinsamkeit, dass nur Kunden von Car2Go betroffen sind, bedeutet jedoch nichts anderes als das Kundendatens\u00e4tze in erheblichem Umfang und Ausma\u00df in falsche H\u00e4nde geraten sind. Sicherlich, das passiert immer mal wieder und kein System ist sicher genug als dass es niemals betroffen sein k\u00f6nnte, dennoch halte ich die Aussagen von Car2Go in diesem Zusammenhang f\u00fcr Augenwischerei.<\/p>\n

Warum? Car2Go weist nicht darauf hin, dass die Namen den Hackern bekannt sind. Dass mit solchen Datens\u00e4tzen jedoch wesentlich mehr Schindluder getrieben werden kann als mit blind versendeten, nichtpersonalisierten Nachrichten sollte jedem klar sein. Diese Information vorzuenthalten ist doppelter Hinsicht problematisch. Einerseits weil der Eindruck entstehen kann, dass die ganze Sache so versucht wird herunterzuspielen und andererseits weil es einen Umgang mit den Kunden zeigt, der von Intransparenz gepr\u00e4gt ist.<\/p>\n

Verschleiern und Verwirren – Mal so tun als ob das ein generischer Angriff ist<\/h2>\n

F\u00fcr mich ein klassischer PR-Fail. Nachvollziehbarer Weise will Car2Go erstmal so tun, als ob es sich bei der ganzen Sache um einen generischen Phishing-Angriff handelt. Die Tatsache, dass jedoch Namenszuordnungen betroffen sind, deutet allerdings darauf hin, dass dies wom\u00f6glich nur die Spitze des Eisbergs ist. Daher wirkt auch der tolle Tipp, woran man unechte Nachrichten erkennen kann ziemlich d\u00fcrftig. Denn an genau dieser Stelle wird \u00fcblicherweise darauf hingewiesen, dass man die Authentizit\u00e4t eines Absender anhand der Tatsache erkennt, dass dieser einen mit vollem Namen anspricht. Alleine das Ausbleiben eines Hinweises, dass dieses Merkmal hier nicht mehr greift, scheint mir geradezu fahrl\u00e4ssig. Ob ein „Team an Fachkollegen“ da noch irgendetwas retten kann, wage ich zu bezweifeln.<\/p>\n